PhantomLance: backdoor para Android descoberta na Google Play

Especialistas da Kaspersky encontraram na Google Play o PhantomLance, Trojan de backdoor

Em julho do ano passado, nossos colegas da empresa Doctor Web detectaram um Trojan de backdoor na Google Play. Essas descobertas não acontecem todo dia, mas não quer dizer que sejam raras – os pesquisadores encontram Trojans na Google Play, às vezes centenas de uma vez.

Esse Trojan, no entanto, era surpreendentemente sofisticado. Então nossos especialistas decidiram se aprofundar. Eles conduziram uma investigação própria e descobriram que o malware faz parte de uma campanha maliciosa (chamamos de PhantomLance) em andamento desde o final de 2015.

O que o PhantomLance pode fazer

Nossos especialistas detectaram várias versões do PhantomLance. Apesar da crescente complexidade e das diferenças no tempo de surgimento, são muito semelhantes em termos de funcionalidades.

O principal objetivo do PhantomLance é coletar informações confidenciais. O malware fornece aos seus manipuladores dados de localização, registros de chamadas, mensagens de texto, listas de aplicativos instalados e informações completas sobre o smartphone infectado. Além disso, sua funcionalidade pode ser expandida a qualquer momento simplesmente carregando módulos adicionais do servidor de comando e controle.

Distribuição do PhantomLance

A Google Play é a principal plataforma de distribuição do malware. Ele também já foi encontrado em repositórios de terceiros, mas na maioria das vezes são apenas lojas de aplicativos espelhadas na oficial da Google.

Podemos dizer com certeza que os aplicativos infectados com uma versão do Trojan começaram a aparecer na loja virtual durante o verão de 2018. O malware foi encontrado escondido em utilitários para alterar fontes, remover anúncios, limpeza do sistema etc.

App na Google Play contendo a backdoor PhantomLance

App na Google Play contendo a backdoor PhantomLance

Os aplicativos que contêm o PhantomLance foram removidos do Google Play, mas ainda é possível encontrar cópias em outros sites. Ironicamente, alguns desses repositórios de terceiros afirmam que o pacote de instalação foi baixado diretamente do Google Play e, portanto, é livre de vírus.

Como os cibercriminosos conseguiram infiltrar seus códigos maliciosos na loja oficial do Google? Primeiro, para maior autenticidade, criaram um perfil para cada desenvolvedor no GitHub. Esses perfis continham apenas algum tipo de contrato de licença. No entanto, ter um perfil no GitHub aparentemente fornece alguma credibilidade aos desenvolvedores.

Em segundo, os aplicativos que os criadores do PhantomLance enviaram inicialmente para a loja não eram maliciosos. As primeiras versões dos programas não continham recursos suspeitos e, portanto, passaram pela checagem da Google Play. Apenas algum tempo depois, por meio de atualizações, recursos maliciosos foram adicionados.

Objetivos do PhantomLance

A julgar pela geografia de sua disseminação, bem como pela presença de versões vietnamitas de aplicativos maliciosos em lojas online, acreditamos que os principais alvos dos criadores do PhantomLance eram usuários do Vietnã.

Além disso, nossos especialistas detectaram várias características que vinculam o PhantomLance ao grupo OceanLotus, responsável pela criação de uma variedade de malwares também direcionados a usuários do Vietnã.

O conjunto de ferramentas de malware OceanLotus analisadas anteriormente inclui uma família de backdoors do macOS, uma família de backdoors do Windows e um conjunto de Trojans para Android, cuja atividade foi identificada entre 2014 e 2017. Nossos especialistas chegaram à conclusão de que o PhantomLance tiveram sucesso com os Trojans Android acima mencionados a partir de 2016.

PhantomLance está ligado a outros malwares do OceanLotus

PhantomLance está ligado a outros malwares do OceanLotus

 

Como se proteger contra o PhantomLance

Uma das dicas que costumamos repetir nas postagens sobre malware em Android é “Instalar aplicativos apenas a partir da Google Play”. Mas o PhantomLance demonstra mais uma vez que malware às vezes pode enganar até os gigantes da Internet.

A Google esforça-se ao máximo para manter sua loja de aplicativos limpa (caso contrário, encontraríamos softwares suspeito com maior frequência), mas os recursos da empresa não são ilimitados e os invasores são criativos. Portanto, o simples fato de um aplicativo estar na Google Play não garante sua segurança. Sempre considere outros fatores:

  • Dê preferência aos apps de desenvolvedores confiáveis.
  • Preste atenção às avaliações e notas dos usuários.
  • Observe atentamente as permissões solicitadas por um aplicativo e não hesite em recusar se achar que está pedindo muito. Por exemplo, um app meteorológico provavelmente não precisa acessar seus contatos e mensagens e, da mesma forma, um filtro de fotos não precisa saber sua localização.
  • Escaneie os apps instalados em seu dispositivo Android com uma solução de segurança confiável.

Para obter mais informações técnicas sobre o PhantomLance, consulte o relatório detalhado de nossos especialistas na Securelist.

Dicas