В Google Play найден Android-бэкдор PhantomLance

Эксперты Лаборатории Касперского обнаружили в Google Play троян-бэкдор для Android под названием PhantomLance.

В Google Play найден Android-бэкдор PhantomLance

В июле прошлого года наши коллеги из Dr. Web обнаружили в Google Play троян-бэкдор. Событие не то чтобы повседневное, но и небывалым его не назовешь — в Google Play периодически находят троянов, иногда целыми сотнями за раз.

Однако данный троян, в отличие от подавляющего большинства другого вредоносного ПО, встречающегося в Google Play, оказался на удивление сложным. Поэтому наши эксперты решили провести собственное расследование и выяснили, что зловред является частью вредоносной кампании (мы назвали ее PhantomLance), начавшейся еще в конце 2015 года.

Что умеет PhantomLance

Наши эксперты смогли обнаружить несколько версий PhantomLance. Несмотря на разное время появления и возрастающую с каждой версией сложность, они довольно схожи по своим возможностям.

Основная цель PhantomLance — сбор конфиденциальной информации с устройства жертвы. Зловред передает своим хозяевам данные геолокации, журнал вызовов, SMS, список установленных приложений и полную информацию о смартфоне. При этом его функциональность может быть в любой момент расширена благодаря загрузке дополнительных модулей с командного сервера.

Как распространяли PhantomLance

Очень похоже, что злоумышленники использовали в качестве основной площадки для распространения своего творения Google Play. Зловред встречается и в сторонних каталогах, но в большинстве своем они являются лишь «зеркалами» официального магазина приложений Google.

Мы можем с уверенностью сказать, что приложения, содержащие одну из версий трояна, появлялись в магазине начиная с лета 2018 года. Зловред скрывался в утилитах для смены шрифта, удаления рекламы, очистки системы и так далее.

Одно из приложений в Google Play, в котором скрывался бэкдор PhantomLance

Одно из приложений в Google Play, в котором скрывался бэкдор PhantomLance

Разумеется, все они уже удалены из Google Play, но до сих пор их можно обнаружить на «зеркалах». Иронично, что некоторые из таких «зеркальных каталогов» сообщают, что установочный файл был скачан напрямую из официального магазина Google и потому, дескать, точно не содержит вирусов.

Как злоумышленникам удалось протолкнуть троян в официальный магазин? Во-первых, для большей достоверности они создавали под каждую утилиту профиль ее разработчика на Github (который, впрочем, содержал только лицензионное соглашение).

Во-вторых, изначально загружавшиеся в магазин приложения не были вредоносными. Первые версии программ не содержали никаких подозрительных функций и потому легко преодолевали проверки Google Play. И только через некоторое время, с очередным обновлением, приложения обзаводилось «нужными» его создателям вредоносными функциями.

На кого нацелен PhantomLance

Судя по географии распространения PhantomLance, а также по наличию в магазинах специальных версий вредоносных приложений на вьетнамском языке, основной целью создателей PhantomLance были пользователи из Вьетнама.

Кроме того, наши эксперты смогли найти ряд признаков, связывающих PhantomLance с обнаруженной ранее группировкой OceanLotus, которая ответственна за создание целой линейки вредоносного ПО и также была сфокусирована на пользователях из Вьетнама.

В набор ранее исследованных вредоносных инструментов OceanLotus входит семейство бэкдоров для macOS, семейство бэкдоров для Windows, а также набор Android-троянов, активность которых была замечена в 2014–2017 годах. По мнению наших экспертов, PhantomLance пришел им на смену начиная с 2016 года.

Связь PhantomLance с другими компонентами арсенала вредоносного ПО группировки OceanLotus

Связь PhantomLance с другими компонентами арсенала вредоносного ПО группировки OceanLotus

Как защититься от PhantomLance

Один из советов, которым мы часто подытоживаем посты об Android-зловредах, звучит как «устанавливайте приложения только из Google Play». Но данный пример в очередной раз показывает, что иногда зловреды умудряются попасть и в каталог софта от Google.

Google прикладывает много сил для очистки своего магазина приложений — в противном случае с сомнительным софтом мы бы сталкивались куда чаще, — но возможности компании не безграничны, а злоумышленники изобретательны. Поэтому одного только факта, что приложение загружено в Google Play, недостаточно для уверенности в безопасности. Всегда обращайте внимание на другие факторы:

Больше технических подробностей о PhantomLance можно узнать из детального отчета наших экспертов на Securelist.

Советы