Onze collega’s bij Doctor Web detecteerden in juli vorig jaar een trojan-achterdeur op Google Play. Zulke ontdekkingen vinden niet elke dag plaats, maar het is ook niet uniek: onderzoekers vinden trojans op Google Play, en soms wel honderden tegelijk.
Deze trojan was echter verrassend geavanceerd voor malware die normaal gesproken op Google Play wordt aangetroffen, dus onze experts besloten wat dieper te graven. Ze voerden hun eigen onderzoek uit en ontdekten dat de malware deel uitmaakt van een schadelijke campagne (die we PhantomLance hebben gedoopt) die al sinds eind 2015 actief is.
Wat PhantomLance kan doen
Onze experts ontdekten verschillende versies van PhantomLance. Ondanks de toenemende complexiteit en de verschillende tijden waarop ze opdoken, zijn ze redelijk vergelijkbaar op het gebied van hun mogelijkheden.
Het belangrijkste doel van PhantomLance is om vertrouwelijke informatie van het gebruikersapparaat te verzamelen. Dankzij de malware kunnen de boosdoeners locatiegegevens, belgegevens, sms-berichten, lijsten met geïnstalleerde apps en volledige informatie over de geïnfecteerde smartphone in handen krijgen. Bovendien kan de functionaliteit op elk moment uitgebreid worden door aanvullende modules van de C&C-server te laden.
Verspreiding van PhantomLance
Google Play vormt het belangrijkste distributieplatform voor de malware. Het is ook aangetroffen in gegevensbanken van derden, maar dan gaat het grotendeels om mirrors van de officiële Google-appwinkel.
We kunnen met zekerheid stellen dat de apps die geïnfecteerd zijn met een versie van de trojan in de zomer van 2018 in de app storen begonnen te verschijnen. De malware werd gevonden in tools voor het wijzigen van lettertypes, het verwijderen van ads, het opschonen van systemen, enzovoorts.
Apps die PhantomLance bevatten zijn sindsdien uiteraard allemaal van Google Play verwijderd, maar er bestaan nog altijd kopieën in mirrors. Ironisch genoeg beweren sommige van de gegevensbanken voor mirrors dat het installatiebestand rechtstreeks van Google Play is gedownload en dat het daarom dus zogenaamd geen virussen bevat.
Hoe kregen de cybercriminelen hun speeltje in de officiële Google Store? Ten eerste creëerden de aanvallers voor extra authenticiteit een profiel van elke ontwikkelaar op GitHub. Deze profielen bevatten alleen een soort licentieovereenkomst. Desalniettemin geeft het hebben van een profiel op GitHub ontwikkelaars blijkbaar een soort aanzien.
Ten tweede waren de apps die de makers van PhantomLance in eerste instantie naar Google Play uploadden niet schadelijk. De eerste versies van de programma’s bevatten geen verdachte features, en daardoor kwamen ze zonder enige problemen door de controles van Google Play heen. Pas later werden de apps via updates van schadelijke features voorzien.
Doelwitten van PhantomLance
Op basis van de geografische verspreiding en de aanwezigheid van Vietnamese versies van schadelijke apps in online stores, geloven we dat de belangrijkste doelwitten van de PhantomLance-makers gebruikers in Vietnam waren.
Bovendien ontdekten onze deskundigen een aantal kenmerken die PhantomLance aan de OceanLotus-groep linkten, een groep die verantwoordelijk is voor het creëren van verschillende soorten malware die ook op gebruikers uit Vietnam is gericht.
De reeks van malware-tools van OceanLotus die eerder al is geanalyseerd omvat een familie aan macOS-achterdeuren, een familie van Windows-achterdeuren en een aantal Android-trojans, waarvan er tussen 2014 en 2017 activiteit werd gedetecteerd. Onze experts kwamen tot de conclusie dat het PhantomLance lukte om de bovengenoemde Android-trojans sinds 2016 te gebruiken.
Hoe beschermt u zich tegen PhantomLance
Een van de tips die we regelmatig herhalen in posts over Android-malware is “installeer alleen apps van Google Play”. Maar PhantomLance toont opnieuw aan dat malware soms zelfs de internetreuzen voor de gek kan houden.
Google doet erg veel moeite om zijn app-winkel schoon te houden (anders zouden we daar veel vaker te maken hebben met verdachte software), maar de mogelijkheden van het bedrijf zijn niet onbeperkt, en aanvallers zijn vindingrijk. Daardoor wil alleen het feit dat een app op Google Play staat nog niet meteen zeggen dat die ook veilig is. Houd altijd rekening met de volgende factoren:
- Geef de voorkeur aan apps van vertrouwde ontwikkelaars.
- Besteed aandacht aan app-beoordelingen en reviews van gebruikers.
- Let goed op de machtigingen die een app wil verkrijgen en aarzel niet om deze te weigeren als het u wat overdreven lijkt. Een app voor weersvoorspellingen heeft bijvoorbeeld geen toegang tot uw contacten en berichten nodig, net zoals een fotofilter uw locatie niet hoeft te weten.
- Scan de apps die u op uw Android-apparaat installeert met een betrouwbaar beveiligingssysteem.
Bekijk voor meer technische informatie over PhantomLance het gedetailleerde rapport van onze experts op Securelist.