Hakerzy atakują Androida
W sklepach z aplikacjami roi się od oprogramowania ze złośliwym kodem.
Aplikacje w Google Play szpiegują i kradną dane użytkowników.
Badacze z Kaspersky, firmy zajmującej się tworzeniem programów antywirusowych, ogłosili, że kiedy ściągamy apki na Androida, możemy stać się ofiarami kampanii cyberszpiegowskiej PhantomLance. Jest ona aktywna co najmniej od 4 lat. Na podobne złośliwe oprogramowanie natknąć się możemy w witrynie APKpure.
Nietypowy spyware
Inżynierowie zajmujący się bezpieczeństwem w sieci już w połowie ubiegłego roku zauważyli, że do Sklepu Play trafiła aplikacja z nowym oprogramowaniem spyware. Zwrócili uwagę na to, że tym razem mają do czynienia z czymś nietypowym.
Zwykle, gdy cyberprzestępcom uda się umieścić wirusa w legalnych sklepach, starają się maksymalnie zwiększyć liczbę instalacji i tym samym poszerzyć obszar swojego działania. Tym razem było jednak inaczej – robak wcale nie był zainteresowany masowym rozprzestrzenianiem. Badacze z Kaspersky doszli więc do wniosku, że mają do czynienia z ukierunkowana działalnością.
Dodatkowe prace pozwoliły wykryć kilka wersji szkodnika, które łączyły podobieństwa w kodzie.
Fałszywe konta
Poznano też sposoby działania hakerów. Cyberprzestępcy przede wszystkim posługiwali się fałszywymi kontami twórców portalu GitHub. Następnie, aby ominąć skomplikowane zabezpieczenia sklepów, umieszczali w nich czyste aplikacje. Dopiero później wraz z aktualizacjami instalowano nie tylko szkodliwe oprogramowanie, ale i kod umożliwiający kierowanie nim.
Od 2016 r. zauważono ok. 300 prób infekcji. Na szpiegowskie działania najbardziej narażeni byli mieszkańcy Indii, Wietnamu, Bangladeszu i Indonezji. Co ciekawe, niektóre szkodliwe aplikacje napisane były wyłącznie po wietnamsku.
Powrót azjatyckich hakerów po latach
Porównując fragmenty szkodliwego kodu, badacze ustalili, że oprogramowanie wykorzystane w kampanii PhantomLance jest co najmniej w 1/5 tożsame z kodem stosowanym w najstarszym znanym ataku na Androida z 2013 r. Wtedy akcja przypisana została gangowi OceanLotus, który w tamtym czasie intensywnie działał w południowej i wschodniej części Azji.
O wszystkich próbkach ze szkodliwym oprogramowaniem poinformowali zostali właściciele sklepów. Google zareagował najszybciej i usunął już aplikacje związane z kampanią PhantomLance.
