Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
В Google Play найден Android-бэкдор PhantomLance
Эксперты Лаборатории Касперского обнаружили в Google Play троян-бэкдор для Android под названием PhantomLance.
В июле прошлого года наши коллеги из Dr. Web обнаружили в Google Play троян-бэкдор. Событие не то чтобы повседневное, но и небывалым его не назовешь — в Google Play периодически находят троянов, иногда целыми сотнями за раз.
Однако данный троян, в отличие от подавляющего большинства другого вредоносного ПО, встречающегося в Google Play, оказался на удивление сложным. Поэтому наши эксперты решили провести собственное расследование и выяснили, что зловред является частью вредоносной кампании (мы назвали ее PhantomLance), начавшейся еще в конце 2015 года.
Что умеет PhantomLance
Наши эксперты смогли обнаружить несколько версий PhantomLance. Несмотря на разное время появления и возрастающую с каждой версией сложность, они довольно схожи по своим возможностям.
Основная цель PhantomLance — сбор конфиденциальной информации с устройства жертвы. Для этого зловред может получать root-права на устройстве (вот, чем это грозит), и таким образом получает возможность передавать своим хозяевам данные геолокации, журнал вызовов, SMS, список установленных приложений и полную информацию о смартфоне. При этом его функциональность может быть в любой момент расширена благодаря загрузке дополнительных модулей с командного сервера.
Как распространяли PhantomLance
Очень похоже, что злоумышленники использовали в качестве основной площадки для распространения своего творения Google Play. Зловред встречается и в сторонних каталогах, но в большинстве своем они являются лишь «зеркалами» официального магазина приложений Google.
Мы можем с уверенностью сказать, что приложения, содержащие одну из версий трояна, появлялись в магазине начиная с лета 2018 года. Зловред скрывался в утилитах для смены шрифта, удаления рекламы, очистки системы и так далее.
Разумеется, все они уже удалены из Google Play, но до сих пор их можно обнаружить на «зеркалах». Иронично, что некоторые из таких «зеркальных каталогов» сообщают, что установочный файл был скачан напрямую из официального магазина Google и потому, дескать, точно не содержит вирусов.
Как злоумышленникам удалось протолкнуть троян в официальный магазин? Во-первых, для большей достоверности злоумышленники создавали под каждую утилиту профиль ее разработчика на Github (который, впрочем, содержал только лицензионное соглашение).
Во-вторых, изначально загружавшиеся в магазин приложения не были вредоносными. Первые версии программ не содержали никаких подозрительных функций и потому легко преодолевали проверки Google Play. И только через некоторое время, с очередным обновлением, приложения обзаводилось «нужными» его создателям вредоносными функциями.
На кого нацелен PhantomLance
Судя по географии распространения PhantomLance, а также по наличию в магазинах специальных версий вредоносных приложений на вьетнамском языке, основной целью создателей PhantomLance были пользователи из Вьетнама.
Кроме того, наши эксперты смогли найти ряд признаков, связывающих PhantomLance с обнаруженной ранее группировкой OceanLotus, которая ответственна за создание целой линейки вредоносного ПО и также была сфокусирована на пользователях из Вьетнама.
В набор ранее исследованных вредоносных инструментов OceanLotus входят семейство бэкдоров для macOS, семейство бэкдоров для Windows, а также набор Android-троянов, активность которых была замечена в 2014 — 2017 годах. По мнению наших экспертов, начиная с 2016 года PhantomLance пришел им на смену.
Как защититься от PhantomLance
Один из советов, которым мы часто подытоживаем посты об Android-зловредах, звучит как «устанавливайте приложения только из Google Play». Но данный пример в очередной раз показывает, что иногда зловреды умудряются попасть и в каталог софта от Google.
Google прикладывает много сил для очистки своего магазина приложений — в противном случае с сомнительным софтом мы бы сталкивались куда чаще, — но возможности компании не безграничны, а злоумышленники изобретательны. Поэтому одного только факта того, что приложение загружено в Google Play, недостаточно для уверенности в безопасности — всегда обращайте внимание на другие факторы:
- Отдавайте предпочтение приложениям проверенных разработчиков.
- Обращайте внимание на рейтинг программы и отзывы пользователей.
- Внимательно изучайте разрешения на доступ к вашей информации и опасным функциям смартфона, которые запрашивает приложение. И не стесняйтесь ему отказать, если считаете, что оно слишком много хочет. К примеру, погодному приложению, скорее всего, совсем ни к чему иметь доступ к вашим контактам и сообщениям, а фильтру для фотографий — к вашему местоположению.
- Проверяйте приложения, которые вы устанавливаете на свое Android устройство, надежным защитным решением.
Больше технических подробностей о PhantomLance можно узнать из детального отчета наших экспертов на Securelist.
Источник: Лаборатория Касперского
29.04.2020