I ricercatori di
Kaspersky hanno rilevato una sofisticata campagna malevola rivolta agli utenti di dispositivi
Android che quasi certamente può essere attribuita a OceanLotus, un gruppo criminale APT. Denominata
PhantomLance, la campagna è attiva almeno dal 2015 e si presenta con diverse versioni di uno spyware complesso, ovvero un software creato per raccogliere i dati delle vittime, e tattiche di distribuzione intelligenti, compresa la distribuzione attraverso decine di applicazioni presenti sul market ufficiale di
Google Play.
Nel luglio 2019, i ricercatori di sicurezza di terze parti hanno
segnalato un nuovo campione di spyware trovato su Google Play. Il report ha attirato l'attenzione di Kaspersky per le sue caratteristiche insolite. Il livello di sofisticazione e il modus operandi è molto diverso dai
comuni trojan solitamente caricati negli app store ufficiali. I ricercatori di Kaspersky sono riusciti a trovare un altro sample molto simile di questo malware su Google Play. In genere, quando i creatori di malware riescono a caricare un'applicazione dannosa su un app store legittimo, investono notevoli risorse nella promozione dell'applicazione per consentire il maggior numero di installazioni e di vittime. In questo caso non è avvenuto quasi come se i threat actor non fossero interessati alla diffusione di massa. Questo indizio ha portato i ricercatori a pensare
che si trattasse di un’attività APT (Advanced Persistent Threat) mirata. Ulteriori ricerche hanno consentito di scoprire diverse versioni di questo malware con decine di sample collegati tra loro da molteplici somiglianze di codice.
Lo scopo principale dello spyware era la raccolta di informazioni. Anche se le funzionalità di base non erano molto ampie e comprendevano la geolocalizzazione, i registri delle chiamate, l'accesso ai contatti e l'accesso agli SMS, l'applicazione poteva raccogliere l’elenco delle applicazioni installate e le informazioni sul dispositivo, dal modello alla versione del sistema operativo. Inoltre, i threat actor erano in grado di scaricare ed eseguire vari payload dannosi, e quindi, adattare il payload più adatto all'ambiente specifico del dispositivo, come la versione Android e le applicazioni installate. In questo modo i criminali sono stati in grado di evitare di sovraccaricare l'applicazione con funzioni non essenziali e allo stesso tempo di raccogliere le informazioni necessarie.
Ulteriori ricerche hanno indicato che
PhantomLance è stato distribuito principalmente su varie piattaforme e marketplace, tra cui, Google Play e APKpure. Per dare l’impressione che le applicazioni fossero legittime, in quasi tutti i casi di diffusione di malware, i threat actor hanno cercato di costruire il falso profilo di uno sviluppatore creando un account Github associato. Al fine di eludere i meccanismi di filtraggio utilizzati dai marketplace, le prime versioni dell'applicazione caricate dai criminali sui marketplace, non contenevano payload dannosi. In seguito, con gli aggiornamenti successivi, le applicazioni hanno ricevuto sia payload dannosi che un codice per eliminare ed eseguire questi payload.
Kaspersky ha segnalato tutti i sample scoperti ai proprietari delle app legittime.
Google Play ha confermato di aver eliminato le applicazioni."Questa campagna è un esempio eccezionale di come gruppi criminali avanzati si stanno spostando in acque sempre più profonde diventando più difficili da individuare. PhantomLance è attiva da oltre cinque anni e i threat actor sono riusciti a bypassare più volte i filtri degli app store utilizzando tecniche avanzate per raggiungere i loro obiettivi. Un altro aspetto che vale la pena evidenziare è l'uso delle piattaforme mobili come punto di infezione primario. Questo obiettivo sta diventando sempre più popolare e il numero di criminali che avanzano in questo settore è sempre più alto. Questi sviluppi sottolineano l'importanza di un continuo miglioramento della threat intelligence e dei servizi di supporto in grado di aiutare i ricercatori ad individuare i threat actor e a trovare le sovrapposizioni tra le varie campagne",
ha commentato Alexey Firsh, security researcher del GReAT di Kaspersky.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di
BitCity.it iscriviti alla nostra
Newsletter gratuita.
