В июле прошлого года наши коллеги из Dr. Web обнаружили в Google Play троян-бэкдор . Событие не то чтобы повседневное, но и небывалым его не назовешь — в Google Play периодически находят троянов, иногда целыми сотнями за раз.
Однако данный троян, в отличие от подавляющего большинства другого вредоносного ПО, встречающегося в Google Play, оказался на удивление сложным. Поэтому наши эксперты решили провести собственное расследование и выяснили, что зловред является частью вредоносной кампании (мы назвали ее PhantomLance), начавшейся еще в конце 2015 года.
Что умеет PhantomLance
Наши эксперты смогли обнаружить несколько версий PhantomLance. Несмотря на разное время появления и возрастающую с каждой версией сложность, они довольно схожи по своим возможностям.
Основная цель PhantomLance — сбор конфиденциальной информации с устройства жертвы. Для этого зловред может получать root-права на устройстве ( вот чем это грозит ), и таким образом получает возможность передавать своим хозяевам данные геолокации, журнал вызовов, SMS, список установленных приложений и полную информацию о смартфоне. При этом его функциональность может быть в любой момент расширена благодаря загрузке дополнительных модулей с командного сервера.
Как распространяли PhantomLance
Очень похоже, что злоумышленники использовали в качестве основной площадки для распространения своего творения Google Play. Зловред встречается и в сторонних каталогах, но в большинстве своем они являются лишь «зеркалами» официального магазина приложений Google.
Мы можем с уверенностью сказать, что приложения, содержащие одну из версий трояна, появлялись в магазине начиная с лета 2018 года. Зловред скрывался в утилитах для смены шрифта, удаления рекламы, очистки системы и так далее.
Одно из приложений в Google Play, в котором скрывался бэкдор PhantomLance
Разумеется, все они уже удалены из Google Play, но до сих пор их можно обнаружить на «зеркалах». Иронично, что некоторые из таких «зеркальных каталогов» сообщают, что установочный файл был скачан напрямую из официального магазина Google и потому, дескать, точно не содержит вирусов.
Как злоумышленникам удалось протолкнуть троян в официальный магазин? Во-первых, для большей достоверности они создавали под каждую утилиту профиль ее разработчика на Github (который, впрочем, содержал только лицензионное соглашение).
Во-вторых, изначально загружавшиеся в магазин приложения не были вредоносными. Первые версии программ не содержали никаких подозрительных функций и потому легко преодолевали проверки Google Play. И только через некоторое время, с очередным обновлением, приложения обзаводилось «нужными» его создателям вредоносными функциями.
На кого нацелен PhantomLance
Судя по географии распространения PhantomLance, а также по наличию в магазинах специальных версий вредоносных приложений на вьетнамском языке, основной целью создателей PhantomLance были пользователи из Вьетнама.
Кроме того, наши эксперты смогли найти ряд признаков, связывающих PhantomLance с обнаруженной ранее группировкой OceanLotus, которая ответственна за создание целой линейки вредоносного ПО и также была сфокусирована на пользователях из Вьетнама.
В набор ранее исследованных вредоносных инструментов OceanLotus входит семейство бэкдоров для macOS, семейство бэкдоров для Windows, а также набор Android-троянов, активность которых была замечена в 2014–2017 годах. По мнению наших экспертов, PhantomLance пришел им на смену начиная с 2016 года.
Связь PhantomLance с другими компонентами арсенала вредоносного ПО группировки OceanLotus
Как защититься от PhantomLance
Один из советов, которым мы часто подытоживаем посты об Android-зловредах, звучит как «устанавливайте приложения только из Google Play». Но данный пример в очередной раз показывает, что иногда зловреды умудряются попасть и в каталог софта от Google.
Google прикладывает много сил для очистки своего магазина приложений — в противном случае с сомнительным софтом мы бы сталкивались куда чаще, — но возможности компании не безграничны, а злоумышленники изобретательны. Поэтому одного только факта, что приложение загружено в Google Play, недостаточно для уверенности в безопасности. Всегда обращайте внимание на другие факторы:
Отдавайте предпочтение приложениям проверенных разработчиков.
Обращайте внимание на рейтинг программы и отзывы пользователей .
Внимательно изучайте разрешения на доступ к вашей информации и опасным функциям смартфона , которые запрашивает приложение. И не стесняйтесь ему отказать, если считаете, что оно слишком много хочет. К примеру, погодному приложению, скорее всего, совсем ни к чему иметь доступ к вашим контактам и сообщениям, а фильтру для фотографий — к вашему местоположению.
Проверяйте приложения, которые вы устанавливаете на свое Android-устройство, надежным защитным решением .
Больше технических подробностей о PhantomLance можно узнать из детального отчета наших экспертов на Securelist .
Источник
Batafsil | Подробно | Read more... InfoCOM
Related News
Top News
-
![]()
Дневной сон: когда и сколько нужно спать, чтобы чувствовать себя бодрымДневной сон — это не прихоть, а проверенный инструмент для улучшения здоровья и работоспособности. Дремать днём — это не лень, а способ...
-
![]()
ЎзПФЛ: "Бухоро" — ОКМК учрашуви Олмалиқда ўтадиЎзбекистон кубоги 1/8 финалидан ўрин олган "Бухоро" — ОКМК ўйини 25 июнь куни Олмалиқ шаҳрида бўлиб ўтади.
-
![]()
"Сурхон" россиялик легионери билан шартномани бекор қилдиТермизнинг "Сурхон" клуби жамоа вингери Кирилл Колесниченко билан шартномани бекор қилди.
-
![]()
Продукты без сахара: почему они могут быть опаснее обычных сладостейИнгредиент, содержащийся в популярных низкокалорийных продуктах питания, может повысить риск инсульта! Вот почему стоит опасаться продуктов с...
-
![]()
"Реал" Мбаппе шифохонага ётқизилганини хабар қилдиМадриднинг "Реал" клуби юлдузи Килиан Мбаппе шифохонага тушиб қолди.
-
![]()
Xomanaiy agar AQSh harbiy mojaroga aralashsa «muqarrar javob» bilan tahdid qildi.Eron rahbari o‘z xalqi tajovuzkor urushga qarshi qat’iyat bilan kurashishi va hech kimga bo‘ysunmasligini ta’kidladi..
