Mια εξελιγμένη κακόβουλη εκστρατεία με στόχο χρήστες συσκευών Android, εντόπισαν ερευνητές της εταιρείας ψηφιακής ασφαλείας Kaspersky.
Με την ονομασία PhantomLance, η εκστρατεία είναι ενεργή τουλάχιστον από το 2015 και συνεχίζεται, με πολλές εκδόσεις ενός σύνθετου λογισμικού υποκλοπής τύπου spyware - λογισμικού που δημιουργήθηκε για τη συλλογή δεδομένων των θυμάτων - και έξυπνη τακτική διανομής, συμπεριλαμβανομένης της διανομής μέσω δεκάδων εφαρμογών στην επίσημη αγορά του Google Play.
Σύμφωνα με ανακοίνωση της εταιρείας, τον Ιούλιο του 2019, ερευνητές ασφαλείας ανέφεραν ένα νέο δείγμα spyware που βρέθηκε στο Google Play. Η έκθεση προσέλκυσε την προσοχή της Kaspersky λόγω των απροσδόκητων χαρακτηριστικών της - το επίπεδο και η συμπεριφορά της ήταν πολύ διαφορετική από τα κοινά Trojans που «ανεβαίνουν συνήθως σε επίσημα καταστήματα εφαρμογών. Οι ερευνητές της Kaspersky κατάφεραν να βρουν ένα άλλο παρόμοιο δείγμα αυτού του κακόβουλου λογισμικού στο Google Play. Συνήθως, εάν οι δημιουργοί κακόβουλου λογισμικού καταφέρουν να «ανεβάσουν» μια κακόβουλη εφαρμογή στο νόμιμο κατάστημα εφαρμογών, επενδύουν σημαντικούς πόρους για την προώθησή της για να αυξήσουν τον αριθμό των εγκαταστάσεων και έτσι να αυξήσουν τον αριθμό των θυμάτων. Αυτό δεν συνέβη με αυτές τις πρόσφατα ανακαλυφθείσες κακόβουλες εφαρμογές. Φαινόταν ότι οι χειριστές πίσω τους δεν ενδιαφέρονταν για μαζική εξάπλωση. Για τους ερευνητές, αυτό ήταν μια υπόδειξη στοχευμένης δραστηριότητας APT. Πρόσθετη έρευνα επέτρεψε την ανακάλυψη πολλών εκδόσεων αυτού του κακόβουλου λογισμικού με δεκάδες δείγματα που συνδέονται με πολλαπλές ομοιότητες κώδικα.
Η λειτουργικότητα όλων των δειγμάτων ήταν παρόμοια - ο κύριος σκοπός του spyware ήταν η συλλογή πληροφοριών. Ενώ η βασική λειτουργικότητα δεν ήταν πολύ ευρεία, και περιελάμβανε γεωγραφική τοποθεσία, αρχεία καταγραφής κλήσεων, πρόσβαση επαφών και πρόσβαση SMS, η εφαρμογή θα μπορούσε επίσης να συγκεντρώσει μια λίστα εγκατεστημένων εφαρμογών, καθώς και πληροφορίες συσκευής, όπως το μοντέλο και η έκδοση λειτουργικού συστήματος. Επιπλέον, ο απειλητικός φορέας μπόρεσε να «κατεβάσει» και να εκτελέσει διάφορα κακόβουλα ωφέλιμα φορτία και, επομένως, να προσαρμόσει το ωφέλιμο φορτίο που θα ήταν κατάλληλο για το συγκεκριμένο περιβάλλον συσκευής, όπως η έκδοση Android και οι εγκατεστημένες εφαρμογές. Με αυτόν τον τρόπο, ο φορέας μπόρεσε να αποφύγει την υπερφόρτωση της εφαρμογής με περιττές λειτουργίες και ταυτόχρονα να συλλέξει τις απαραίτητες πληροφορίες.
Περαιτέρω έρευνα έδειξε ότι το PhantomLance διανεμήθηκε κυρίως σε διάφορες πλατφόρμες και αγορές, συμπεριλαμβανομένων, μεταξύ άλλων, του Google Play και του APKpure. Για να κάνουν τις εφαρμογές να φαίνονται νόμιμες, σε σχεδόν κάθε περίπτωση ανάπτυξης κακόβουλου λογισμικού, οι απειλητικοί φορείς προσπάθησαν να δημιουργήσουν ένα ψεύτικο προφίλ προγραμματιστή δημιουργώντας έναν σχετικό λογαριασμό Github. Προκειμένου να αποφευχθούν οι μηχανισμοί φιλτραρίσματος που χρησιμοποιούν οι αγορές, οι πρώτες εκδόσεις της εφαρμογής που «ανέβασε» ο απειλητικός φορέας στις αγορές δεν περιείχαν κακόβουλα ωφέλιμα φορτία. Ωστόσο, με μεταγενέστερες ενημερώσεις, οι εφαρμογές έλαβαν και κακόβουλα ωφέλιμα φορτία αλλά και έναν κωδικό για τον διαμοιρασμό και την εκτέλεση αυτών των ωφέλιμων φορτίων.
Σύμφωνα με το Kaspersky Security Network, από το 2016, παρατηρήθηκαν περίπου 300 προσπάθειες «μόλυνσης» σε συσκευές Android σε χώρες όπως η Ινδία, το Βιετνάμ, το Μπαγκλαντές και η Ινδονησία.
Χρησιμοποιώντας τη μηχανή απόδοσης κακόβουλου λογισμικού της Kaspersky - ένα εσωτερικό εργαλείο για να βρουν ομοιότητες μεταξύ διαφορετικών τμημάτων κακόβουλου κώδικα - οι ερευνητές μπόρεσαν να προσδιορίσουν ότι τα ωφέλιμα φορτία του PhantomLance ήταν τουλάχιστον 20% παρόμοια με αυτά μιας από τις παλαιότερες εκστρατείες Android που σχετίζονται με τον OceanLotus, έναν φορέα που λειτουργεί τουλάχιστον από το 2013 και του οποίου οι στόχοι βρίσκονται κυρίως στη Νοτιοανατολική Ασία. Επιπλέον, βρέθηκαν αρκετές σημαντικές αλληλεπικαλύψεις με τις δραστηριότητες του OceanLotus που αναφέρθηκαν προηγουμένως σε Windows και MacOS. Έτσι, οι ερευνητές της Kaspersky πιστεύουν ότι η εκστρατεία PhantomLance μπορεί να συνδεθεί με το OceanLotus με μερική επιφύλαξη.
Η Kaspersky ανέφερε όλα τα δείγματα που ανακαλύφθηκαν στους ιδιοκτήτες νόμιμων καταστημάτων εφαρμογών. Το Google Play επιβεβαίωσε ότι έχει «κατεβάσει» όλες τις σχετικές εφαρμογές.