Grupa napadača godinama koristila Google Play za ugrožavanje uređaja špijunskom zlonamjernom datotekom

Grupa napadača godinama koristila Google Play za ugrožavanje uređaja špijunskom zlonamjernom datotekom

Google Play PhantomLance

Stručnjaci tvrtke Kaspersky Lab otkrili su sofisticiranu zlonamjernu kampanju PhantomLance koja cilja korisnike Android uređaja različitim verzijama softvera za špijunažu. Softver je pritom skriven u aplikacijama koje se distribuiraju putem Google Play-a i alternativnih trgovina Android aplikacija kao što su APKpure i APKCombo. PhantomLance sadrži značajna preklapanja s tvrtkama koje su već prije ciljale korisnike Windowsa i macOS-a, koje se pripisuju APT grupi OceanLotus (također poznata kao APT32) i za koju se vjeruje da djeluje iz Vijetnama. Grupa je aktivna od 2013. godine, a ciljevi su joj pretežno locirani u Jugoistočnoj Aziji. Poznati su po napadima na strane tvrtke koje investiraju u različite sektore vijetnamske industrije te po napadima na istraživačke institute diljem svijeta, medijske kuće, organizacije koje se bave ljudskim pravima i drugo. U novije vrijeme, grupa je izvela spear-phishing napade na kinesko Ministarstvo za izvanredne okolnosti i vladu provincije Wuhan, s ciljem prikupljanja obavještajnih podataka o događajima koji su povezani s COVID-19. Kampanja PhantomLance je aktivna najmanje od 2015. godine te je i dalje u tijeku, a uključuje mnogobrojne verzije složenog špijunskog softvera, koji je kreiran za prikupljanje podataka od žrtava i načina distribucije softvera, uključujući distribuciju putem desetina aplikacija sa službene Googe Play trgovine. Kaspersky Lab je otkrio kampanju nakon što je ruska tvrtka Doctor Web prošle godine objavila izvještaj o novom backdoor trojancu koji se otkrio u Google Play-u. Izvještaj je tada privukao pažnju stručnjaka zbog neobičnih karakteristika zlonamjerne datoteke koja je bila mnogo složenija od one koju napadači obično koriste za krađu financijskih informacija i lozinki korisnika Androida. Tako se uspješno pronašao još jedan sličan uzorak ove zlonamjerne datoteke. Ukoliko kreatori zlonamjerne datoteke uspiju ubaciti zlonamjernu aplikaciju u legitimnu trgovinu aplikacija, oni uglavnom ulažu znatne resurse u promidžbu aplikacije kako bi povećali broj instalacija, posljedično i broj žrtava. Ovo nije bio slučaj s ovim novootkrivenim zlonamjernim aplikacijama. Izgledalo je kao da tvorci zlonamjernog softvera nisu zainteresirani za njihovo masovno širenje. To je za stručnjake značilo da je riječ o ciljanoj APT (Advanced Persistent Threat) aktivnosti. Dodatnim istraživanjem otkriveno je nekoliko verzija ove zlonamjerne datoteke s desetinama uzoraka, povezanih mnogobrojnim sličnostima u kodu. Funkcionalnost svih uzoraka je bila slična, a glavna svrha je bila prikupljanje informacija. Iako osnovna funkcionalnost nije bila pretjerano širokog opsega te je uključivala geolokaciju, evidencije poziva, pristup kontaktima i SMS porukama, zlonamjerna datoteka je također imala mogućnost prikupljanja popisa instaliranih aplikacija, kao i informacija o uređaju, poput modela i verzije operacijskog sustava. Osim toga, napadači su bili u mogućnosti preuzeti i pokrenuti različiti payload te na taj način prilagoditi zlonamjernu datoteku određenom okruženju uređaja, kao što su Android verzija ili instalirane aplikacije. Na ovaj način napadači su mogli izbjeći preopterećenje zlonamjerne aplikacije nepotrebnim funkcionalnostima te su mogli u isto vrijeme prikupljati potrebne informacije. Kampanja PhantomLance podrazumijevala je distribuciju aplikacija na različitim platformama, uključujući Google Play i APKpure. Kako bi aplikacije izgledale legitimno, u gotovo svim slučajevima napadači su pokušali napraviti lažni profil programera kreirajući povezani Github račun. Kako bi izbjegli mehanizme filtriranja koje trgovine aplikacija primjenjuju, te kako njihove aplikacije ne bi bile blokirane, prve verzije aplikacije koje je grupa OceanLotus objavila u trgovinama nisu sadržavale zlonamjeran kod. Kasnijim ažuriranjem, aplikacija bi dobivala i zlonamjerni payload, što je potvrđeno otkrićem verzija iste aplikacije, sa ili bez payloada. Većina žrtava kampanje nalazi se u Vijetnamu, s izuzetkom malog broja pojedinaca iz Kine. Kompanija Kaspersky je obavijestila o svojim otkrićima Google Play koji je potvrdio da su uklonili navedene aplikacije. Kampanja je idealan primjer za to kako napadači zalaze sve dublje i dublje i kako ih postaje sve teže pronaći. PhantomLance postoji više od pet godina, a akteri prijetnji su uspjeli zaobići filtere trgovina aplikacija nekoliko puta, koristeći napredne tehnike kako bi postigli svoje ciljeve. Također može se primijetiti da korištenje mobilnih platformi kao primarnih točki ugroza postaje sve popularnije, sa sve više aktivnih napadača.

Prethodna objava Slijedeća objava