Спецпроекты

«Касперский»: Шпионские программы годами «легально» распространялись через официальный магазин Android

24315
Безопасность Техника Мобильность Маркет

«Лаборатория Касперского» обнаружила APT-кампанию, в рамках которой вредоносные программы длительное время распространялись в том числе через Google Play.

Вредоносы в официальных источниках

На протяжении нескольких лет пользователи Android были объектами атак со стороны вредоносной кампании PhantomLance, операторы которой использовали Google Play для распространения приложений с вредоносными модулями.

По данным «Лаборатории Касперского», кампания велась как минимум с 2015 г. и продолжается по сей день. Ее операторы используют множество различных версий своего вредоносного ПО, которые распространялись через десятки приложений, включая те, которые были опубликованы в Google Play. Некоторые зараженные приложения встречались также в неофициальных магазинах приложений APKpure и APKCombo.

«Один из последних сэмплов был обнаружен в официальном магазине приложений 6 ноября 2019 г. Мы проинформировали Google о вредоносе, и тот был вскоре устранен», — говорится в публикации «Лаборатории Касперского». Однако в неофициальных магазинах некоторые из вредоносных программ PhantomLance встречаются до сих пор.

Основное назначение вредоносных программ — сбор данных: выводится геолокационная информация, логи вызовов, список контактов, перечень установленных приложений, версия операционной системы, идентификатор устройства и т. д. В случае надобности вредонос докачивает и устанавливает дополнительные модули, набор которых определяется версией ОС и сведениями об установленных приложениях.

kasper600.jpg
«Касперский» нашел «легальные» шпионские программы-старожилы в Google Play

Тактика злоумышленников довольно проста: изначально в магазины — официальные и неофициальные — загружаются чистые версии приложений, лишенные каких бы то ни было вредоносных компонентов. Вредоносная начинка, а также модули для загрузки и выполнения на конечных устройствах, добавляется позже.

«Тот факт, что эта тактика продемонстрировала свою эффективность, показывает, что защитные инструменты Google Play нуждаются в некотором совершенствовании, — считает Михаил Зайцев, эксперт по информационной безопасности компании SEC Consult Services. — PhantomLance явно не первые, кто применяет этот метод. Тот факт, что кампанию так долго не могли обнаружить, объясняется очень низким количеством заражений, что, видимо, связано со специфичностью вредоносных приложений».

Магазины приложений вроде apkcombo.com, apk.support, apkpure.com, apkpourandroid.com по большей части «зеркалят» Google Play, поэтому в них оказывается все, что поступает в официальный магазин приложений. Но далеко не все удаляется.

Инфраструктура предшественника

По данным «Лаборатории Касперского», PhantomLance использует ту же инфраструктуру, с которой осуществлялись атаки в рамках APT-группировки OceanLotus (она же APT32), предположительно вьетнамского происхождения.

Того же мнения придерживается кампания Antiy Labs, которая еще в мае 2019 г. описывала вредоносную программу под Android, проассоциированную позже с PhantomLance.

Деятельность OceanLotus в основном была свернута к 2018 г. К настоящему времени «Лаборатории Касперского» удалось засечь около 300 случаев заражения вредоносами PhantomLance — в Индии, Бангладеше, Индонезии, а также Иране, Алжире, ЮАР и др.

Объектами атак становятся преимущественно иностранные компании, которые инвестируют в ключевые промышленные секторы Вьетнама. В прицеле также оказываются правозащитные организации, исследовательские учреждения и медиаконгломераты. Атакованы и некоторые судостроительные корпорации Китая.