X
Subscribe for notification

PhantomLance está roubando dados de usuários através de apps da Play Store

A Kaspersky alertou que uma campanha em andamento em que aplicativos maliciosos hospedados pelo Google Play estão secretamente espionando e roubando dados de usuários do Android. A onda de ataque de quatro anos foi conectada a dezenas de aplicativos maliciosos encontrados nas lojas de aplicativos. roubando dados de usuários

Na terça-feira, pesquisadores de segurança cibernética disseram que a campanha, apelidada de PhantomLance, está em atividade há pelo menos quatro anos e está em andamento.

Segundo a equipe, “dezenas” de aplicativos maliciosos conectados ao PhantomLance e abrigando um novo Trojan foram descobertos no Google Play, o repositório oficial de aplicativos para dispositivos móveis Android da gigante da tecnologia. Além disso, aplicativos maliciosos também foram encontrados no site de download de APK, o apkpure.com . roubando dados de usuários

Em julho de 2019, a equipe do Doctor Web publicou pesquisas sobre um novo Trojan enterrado em um aplicativo no Google Play que se disfarçava como um plugin OpenGL.

Depois de iniciado, o aplicativo malicioso simula uma verificação de novas versões do OpenGL ES, mas na verdade instala um backdoor e começa a filtrar as informações do usuário.

A Kaspersky diz que uma amostra semelhante deste Trojan foi encontrada no Google Play e sua sofisticação – incluindo o uso de altos níveis de criptografia e a capacidade de adaptar cargas maliciosas, dependendo do ambiente do dispositivo móvel – sugere que o PhantomLance não é o trabalho de atores de ameaças comuns.

O malware PhantomLance, do qual várias variações foram rastreadas, possui as funções básicas do spyware, como funções de exfiltração para roubar informações do usuário, incluindo registros de chamadas telefônicas, contatos, dados GPS, mensagens SMS e modelo de dispositivo e informações do sistema operacional. roubando dados de usuários

O Trojan é capaz de criar um backdoor para transferir esses dados para o servidor de comando e controle (C2) do operador, além de implantar cargas maliciosas adicionais.

A Kaspersky suspeita que um grupo de Ameaça Persistente Avançada (APT) possa estar por trás da campanha devido ao cuidado de mascarar seus rastros. Em “quase todos os casos”, diz a equipe, foram criados perfis falsos de desenvolvedor com contas associadas do GitHub e, para evitar a detecção, a primeira versão de cada aplicativo carregada no Google Play ou APKpure não continha código malicioso.

“Com as atualizações posteriores, os aplicativos receberam cargas maliciosas e um código para eliminar e executar essas cargas”, diz Kaspersky.

Aproximadamente 300 tentativas de infecção foram rastreadas para dispositivos Android em países como Índia, Vietnã, Bangladesh e Indonésia desde 2016. roubando dados de usuários

A atribuição geralmente é uma perspectiva difícil. No entanto, no caso do PhantomLance, existem alguns indicadores de que o grupo APL OceanLotus, também conhecido como APT32, está envolvido.

Depois de examinar a base de código dos aplicativos maliciosos, Kasperksy avaliou com “confiança média” que o OceanLotus está por trás das cargas úteis. Isso ocorre porque pelo menos 20% da base de código é semelhante aos ataques cibernéticos e campanhas mais antigos do Android lançados pelo grupo, que também tende a atingir vítimas no sudeste da Ásia. roubando dados de usuários

A OceanLotus atua desde 2013 e está vinculada a campanhas contra entidades, incluindo os governos vietnamita e chinês. Recentemente, foi lançado um novo ataque ao Ministério de Gerenciamento de Emergências da China, em uma tentativa de encontrar e roubar dados relacionados à pandemia do COVID-19.

A Kaspersky relatou todos os aplicativos maliciosos encontrados. O Google os removeu da loja.

“O PhantomLance já existe há mais de cinco anos e os agentes de ameaças conseguiram contornar os filtros das lojas de aplicativos várias vezes, usando técnicas avançadas para atingir seus objetivos”, diz Alexey Firsh, pesquisador da Kaspersky. “Também podemos ver que o uso de plataformas móveis como ponto de infecção primário está se tornando mais popular”. roubando dados de usuários

O ZDNet entrou em contato com o Google e será atualizado quando receber uma resposta.

PhantomLance está roubando dados de usuários através de apps da Play Store

Elton Ostrev: Sonhador é o que sou, mas ao contrário de muitos, eu luto para realizar meus sonhos. Sou dono, seo, admin e editor do site. Sou pai, casado, cristão e adoro aventuras. I love Android ♥️
Disqus Comments Loading...