Badacze z firmy Kaspersky wykryli wyrafinowan? kampani? cyberprzest?pcz? wymierzon? w u?ytkowników urz?dze? z systemem Android, która ze ?rednim prawdopodobie?stwem mo?e by? przypisana ugrupowaniu o nazwie OceanLotus. Kampania ta – okre?lona jako PhantomLance – by?a prowadzona od co najmniej 2015 roku i nadal jest aktywna, wykorzystuj?c ró?ne wersje z?o?onego oprogramowania spyware (którego celem jest gromadzenie danych ofiar), jak równie? inteligentne taktyki dystrybucji, ??cznie z rozprzestrzenianiem za po?rednictwem dziesi?tek aplikacji w oficjalnym Sklepie Play firmy Google.
‘W lipcu 2019 r. badacze bezpiecze?stwa poinformowali o nowej próbce oprogramowania spyware znalezionej w Sklepie Play firmy Google. Zwróci?a ona uwag? firmy Kaspersky ze wzgl?du na nietypowe cechy – poziom wyrafinowania i zachowanie znacz?co odbiega?y od powszechnych trojanów umieszczanych w oficjalnych sklepach z aplikacjami. Badacze zdo?ali wykry? kolejn?, bardzo podobn? próbk? tego szkodnika w sklepie firmy Google. Twórcy szkodliwego oprogramowania, którym uda si? umie?ci? szkodliw? aplikacj? w legalnym sklepie, zwykle inwestuj? wiele zasobów w jej promowanie w celu zwi?kszenia liczby instalacji, a tym samym liczby ofiar. Inaczej by?o w przypadku opisywanych nowo wykrytych szkodliwych aplikacji. Stoj?ce za nimi osoby wydawa?y si? niezainteresowane masowym rozprzestrzenianiem. Sk?oni?o to badaczy do wniosku, ?e maj? do czynienia z ukierunkowan? aktywno?ci? APT. Dodatkowe badanie pozwoli?o wykry? kilka wersji tego szkodnika: dziesi?tki próbek ??czy?y liczne podobie?stwa w kodzie.
Wszystkie próbki mia?y podobn? funkcjonalno?? – g?ównym celem oprogramowania spyware by?o gromadzenie informacji. O ile funkcjonalno?? podstawowa nie by?a szczególnie szeroka – obejmowa?a geolokalizacj?, informacje o po??czeniach, dost?p do kontaktów oraz SMS-ów – aplikacja potrafi?a równie? gromadzi? list? zainstalowanych aplikacji i informacje dotycz?ce urz?dzenia, takie jak jego model i wersja systemu operacyjnego. Co wi?cej, cyberprzest?pcy mogli pobiera? i wykonywa? ró?ne szkodliwe funkcje, dobieraj?c tak?, która pasowa?aby do okre?lonego ?rodowiska urz?dzenia, jak wersja Androida czy zainstalowane aplikacje. Dzi?ki temu nie musieli obci??a? swoich szkodliwych narz?dzi niepotrzebnymi funkcjami, a jednocze?nie w dalszym ci?gu gromadzili potrzebne informacje.
Dalsze badanie wykaza?o, ?e PhantomLance by? g?ównie rozprzestrzeniany za pomoc? ró?nych platform i sklepów, w tym m.in. Google Play oraz APKpure. Aby zwi?kszy? wiarygodno?? aplikacji, w niemal ka?dym przypadku cyberprzest?pcy próbowali zbudowa? fa?szywy profil twórcy poprzez stworzenie odpowiedniego konta na Github. W celu obej?cia mechanizmów filtrowania stosowanych przez sklepy pierwsze umieszczone w nich aplikacje nie zawiera?y ?adnych szkodliwych funkcji. Jednak wraz z pó?niejszymi aktualizacjami aplikacje zosta?y wyposa?one zarówno w szkodliwe funkcje, jak i kod umo?liwiaj?cy ich zainstalowanie i wykonanie.
Z danych chmury Kaspersky Security Network wynika, ?e od 2016 r. zaobserwowano oko?o 300 prób infekcji na urz?dzeniach z systemem Android w takich pa?stwach jak Indie, Wietnam, Bangladesz oraz Indonezja. Co ciekawe, niektóre szkodliwe aplikacje wykorzystane w kampanii zosta?y stworzone wy??cznie w j?zyku wietnamskim.
Przy u?yciu wewn?trznych narz?dzi firmy Kaspersky s?u??cych do znajdowania podobie?stw mi?dzy ró?nymi fragmentami szkodliwego kodu badacze ustalili, ?e szkodliwe funkcje wykorzystane w kampanii PhantomLance by?y co najmniej w 20% podobne do tych znanych z jednej ze starszych kampanii wymierzonej w system Android i przypisywanej gangowi OceanLotus. Jest to cyberugrupowanie dzia?aj?ce od co najmniej 2013 r., atakuj?ce cele znajduj?ce si? w wi?kszo?ci w Azji Po?udniowo-Wschodniej. Co wi?cej, zidentyfikowano kilka istotnych zbie?no?ci z wcze?niejsz? aktywno?ci? ugrupowania OceanLotus dotycz?c? systemów Windows oraz macOS. Dlatego badacze z firmy Kaspersky uwa?aj?, ?e kampania PhantomLance mo?e by? ze ?rednim prawdopodobie?stwem powi?zana z ugrupowaniem OceanLotus.
Firma Kaspersky poinformowa?a o wszystkich wykrytych próbkach w?a?cicieli legalnych sklepów z aplikacjami. Firma Google zareagowa?a b?yskawicznie i poinformowa?a ju? o usuni?ciu szkodliwych aplikacji zwi?zanych z kampani? PhantomLance ze swojego sklepu.
