Odborníci ze společnosti Kaspersky objevili sofistikovanou škodlivou kampaň zaměřenou na uživatele zařízení s operačním systémem Android. S největší pravděpodobností za ní stojí kyberzločinecká skupina OceanLotus. Tato kampaň, která probíhá už od roku 2015, získala pojmenování PhantomLance. Jejímu arzenálu dominuje především komplexní spyware – software navržený tak, aby shromažďoval data o uživateli. Šíří se prostřednictvím řady aplikací, které jsou dostupné v oficiálním obchodě Google Play.
V červenci minulého roku informovali bezpečnostní odborníci třetí strany o nově objeveném spywaru v obchodě Google Play. Jejich report upoutal pozornost odborníků z Kaspersky neobvyklými vlastnostmi detekovaného malwaru – míra sofistikovanosti a chování byly zcela odlišné od běžných trojských koní, které kyberzločinci obvykle nahrávají do obchodů s aplikacemi.
Malwarovým odborníkům se podařilo v Google Play najít ještě jeden podobný vzorek tohoto malwaru. Obvykle, když se hackerům podaří nahrát škodlivou aplikaci do legitimního obchodu s aplikacemi, investují nemalé částky do jejich zviditelnění. Tím si chtějí zaručit vysoké počty stažení, a tedy i velké množství obětí. To se ale v těchto případech nedělo.
Zdálo se, že kyberzločinci nestojí o velkou pozornost a masové šíření svých aplikací. Pro odborníky to byl zjevný náznak cílené aktivity APT skupiny. Další analýzy objevily několik verzí tohoto malwaru s desítkami vzorků, které spojovalo několik podobností kódu.
Funkce všech vzorků byly podobné – cílem spywaru je sběr informací. Mezi ně patří poloha zařízení, informace o hovorech, kontakty a přístup k SMS zprávám. Aplikace mohla získat také seznam nainstalovaných aplikací nebo informace o zařízení včetně verze operačního systému. Mimo to mohli útočníci stahovat a instalovat různé škodlivé programy na základě informací o napadeném systému. Díky tomu nezahlcovali aplikaci zbytečnými funkcionalitami a sbírali pouze užitečné informace.
Malware se nešířil jen přes Google Play
PhantomLance se šířil prostřednictvím různých platforem, nešlo tedy pouze o Google Play a APKpure. Aby útočníci dosáhli co nejdůvěryhodnějšího dojmu, vytvořili pro téměř každý malwarový vzorek falešný vývojářský profil na přidruženém Github účtu. Aby zároveň předešli odhalení pomocí filtračních mechanismů, které používají obchody s aplikacemi, neobsahovaly první verze nově nahraných aplikací žádné škodlivé komponenty. Obsahovaly je nicméně pozdější aktualizace, které zahrnovaly i kód, který je spustil.
Z dat Kaspersky Security Network vyplývá, že od roku 2016 došlo ke zhruba 300 pokusům o infikování zařízení s OS Android v zemích, jako je Indie, Vietnam, Bangladéš nebo Indonésie. Zatímco statistika detekce zahrnovala i kolaterální infekce, Vietnam byl jednou z hlavních zemí co do počtu pokusů o útoky – některé škodlivé aplikace použité v kampani byly vyvinuty pouze ve vietnamštině.
Pomocí speciálního nástroje Kaspersky pro přiřazování malwaru – interního nástroje k nalezení podobností mezi různými částmi škodlivého kódu – se odborníkům podařilo zjistit, že některé části PhantomLance byly alespoň z 20 % podobné starším kampaním zaměřeným na Android, za nimiž stála skupina OceanLotus.
Tato skupina existuje už od roku 2013 a cílí převážně na uživatele v jihovýchodní Asii. Kromě toho odborníci zjistili, že se s touto kampaní shoduje i několik dříve detekovaných škodlivých aktivit skupiny OceanLotus zaměřených na Windows a MacOS. Proto se analytici Kaspersky domnívají, že je PhantomLance dílem právě těchto hackerů.
Všechny škodlivé programy byly nahlášeny vlastníkům obchodů s aplikacemi. Google Play potvrdil, že byly tyto aplikace staženy.
