A A A

Trojan w natarciu

4 maja 2020, 14:50
Specjaliści z firmy Kaspersky wykryli w sklepie Google aktywnego wirusa PhantomLance.
Trojan w natarciu

Android znowu zagrożony

Badacze zajmujący się śledzeniem zagrożeń w siedzi ujawnili w najnowszym raporcie dane dotyczące wieloletniej aktywności kampanii, która otrzymała nazwę „Phantom Lance". Według informacji specjalistów z laboratorium firmy Kaspersky narzędzia wykorzystywane do prowadzenia działań cyberprzestępczych w kampanii to oprogramowanie z kategorii spyware.

Hakerzy stojący za tym atakiem działają na aplikacjach opublikowanych w sklepie Google. Badacze szacują, że kampania była aktywna od co najmniej 2015 r.

Celem hakerów stojących za atakami spyware jest gromadzenie danych osób, których urządzenia zostaną zainfekowane wirusem. W tym przypadku mowa o smartfonach z systemem Android, na które użytkownicy pobierają aplikacje z wgranym oprogramowaniem hakerskim.

 

Grupa docelowa hakerów

Zgodnie z wynikami śledztwa prowadzonego przez pracowników firmy Kaspersky pierwotnie kampania hakerska skierowana była na rynek azjatycki. Jednak ze względu na długą niewykrywalność działalności grupy cyberprzestępczej w naturalny sposób jej zasięg się rozszerzył. Zagrożone są wszystkie osoby korzystające ze sklepu Google, które pobierają aplikacje z wgranym oprogramowaniem spyware.

Główny pożytek z działania takich wirusów to zbieranie danych wrażliwych o użytkownikach zainfekowanych urządzeń, które, trafiając w niepowołane ręce, mogą zostać wykorzystane na różne sposoby, np. sprzedane instytucjom reklamowym, co jest jednym z mniej drastycznych przykładów. Za pośrednictwem Phantom Lance hakerzy otrzymywali dane na temat lokalizacji osób używających urządzeń z wirusem, dokładny spis połączeń (kto, do kogo, długość trwania rozmowy), spis wiadomości tekstowych, listę zainstalowanych na urządzeniu programów, a także pełną specyfikację zarażonego smartfona.

Logo firmy Kaspersky

Jak podkreślają specjaliści z firmy Kaspersky, ten typ oprogramowania może być ponadto nieustannie modyfikowany o kolejne funkcjonalności, wysoce szkodliwe dla posiadacza urządzenia z wirusem.

 

W pułapce cyberprzestępców

Phantom Lance znacząco odbiega od standardowo używanych do ataków programów spyware. Badacze z koncernu Kaspersky określają sposób działania trojana jako wyjątkowo wyrafinowany. Cyberprzestępcy bowiem, którym uda się zaimplementować swojego wirusa do aplikacji w legalnym sklepie, starają się mocno promować taką apkę-pułapkę. Chodzi o zwiększenie liczby instalacji i zyskanie jak największej liczby udostępnień i źródeł pobierania programu na kolejnych stronach. Tak tworzy się samonapędzająca machina zarażeń.

Inaczej jednak było w przypadku Phantom Lance. Prawdopodobnie właśnie dlatego tak długo oszustwo nie zostało wykryte. Grupa stojąca za atakami nie inwestowała w promowanie konkretnych aplikacji. Wyglądało to tak, jakby hakerzy nie byli zainteresowani masowym rozprzestrzenianiem w krótkim czasie, ale sukcesywnym, długoterminowym zbieraniem żniwa. Z tego powodu zamiast kilku wysoko notowanych programów w sklepie Google pozostawili dziesiątki zainfekowanych apek, które nie wzbudzały żadnych podejrzeń.

Badacze z Kaspersky donoszą, że wykryli kilka wersji kodu o wysokim podobieństwie, zaimplementowanego do różnego rodzaju aplikacji. Ma to świadczyć o świadomym działaniu przestępców i planie rozprzestrzeniania wirusa w ten konkretny sposób. Co więcej, niektóre aplikacje miały fałszywy profil twórców zbudowany przez hakerów za pośrednictwem konta Github!

 

Wciąż zagraża

Phantom Lance, według informacji koncernu z Mountain View, został już całkowicie usunięty ze sklepu Google. Warto mieć jednak na uwadze, że kopie tych aplikacji można pobierać także z różnego rodzaju APK.

Badacze z Kaspersky'ego są zdania, że ta kampania hakerska może być dziełem ugrupowania OceanLotus – ze względu na podobieństwa w kodzie z innymi ich tworami.

fot. Kaspersky, Daniel Falcao


Paula Jeziorska
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nowe funkcje Teams
9 lipca 2020
Użytkownicy wkrótce będą mogli skorzystać z wielu udoskonaleń platformy komunikacyjnej.


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto