Οι ερευνητές της Kaspersky εντόπισαν μια εξελιγμένη κακόβουλη εκστρατεία με στόχο χρήστες συσκευών Android, η οποία μπορεί να αποδοθεί με κάποια επιφύλαξη στον προηγμένο απειλητικό φορέα (APT), OceanLotus. Με την ονομασία PhantomLance, η εκστρατεία είναι ενεργή τουλάχιστον από το 2015 και συνεχίζεται, με πολλές εκδόσεις ενός σύνθετου λογισμικού υποκλοπής τύπου spyware – λογισμικού που δημιουργήθηκε για τη συλλογή δεδομένων των θυμάτων – και έξυπνη τακτική διανομής, συμπεριλαμβανομένης της διανομής μέσω δεκάδων εφαρμογών στην επίσημη αγορά του Google Play.
Τον Ιούλιο του 2019, ερευνητές ασφαλείας τρίτων μερών ανέφεραν ένα νέο δείγμα spyware που βρέθηκε στο Google Play. Η έκθεση προσέλκυσε την προσοχή της Kaspersky λόγω των απροσδόκητων χαρακτηριστικών της – το επίπεδο και η συμπεριφορά της ήταν πολύ διαφορετική από τα κοινά Trojans που «ανεβαίνουν συνήθως σε επίσημα καταστήματα εφαρμογών. Οι ερευνητές της Kaspersky κατάφεραν να βρουν ένα άλλο παρόμοιο δείγμα αυτού του κακόβουλου λογισμικού στο Google Play. Συνήθως, εάν οι δημιουργοί κακόβουλου λογισμικού καταφέρουν να «ανεβάσουν» μια κακόβουλη εφαρμογή στο νόμιμο κατάστημα εφαρμογών, επενδύουν σημαντικούς πόρους για την προώθησή της για να αυξήσουν τον αριθμό των εγκαταστάσεων και έτσι να αυξήσουν τον αριθμό των θυμάτων. Αυτό δεν συνέβη με αυτές τις πρόσφατα ανακαλυφθείσες κακόβουλες εφαρμογές. Φαινόταν ότι οι χειριστές πίσω τους δεν ενδιαφέρονταν για μαζική εξάπλωση. Για τους ερευνητές, αυτό ήταν μια υπόδειξη στοχευμένης δραστηριότητας APT. Πρόσθετη έρευνα επέτρεψε την ανακάλυψη πολλών εκδόσεων αυτού του κακόβουλου λογισμικού με δεκάδες δείγματα που συνδέονται με πολλαπλές ομοιότητες κώδικα.
Η λειτουργικότητα όλων των δειγμάτων ήταν παρόμοια – ο κύριος σκοπός του spyware ήταν η συλλογή πληροφοριών. Ενώ η βασική λειτουργικότητα δεν ήταν πολύ ευρεία, και περιελάμβανε γεωγραφική τοποθεσία, αρχεία καταγραφής κλήσεων, πρόσβαση επαφών και πρόσβαση SMS, η εφαρμογή θα μπορούσε επίσης να συγκεντρώσει μια λίστα εγκατεστημένων εφαρμογών, καθώς και πληροφορίες συσκευής, όπως το μοντέλο και η έκδοση λειτουργικού συστήματος. Επιπλέον, ο απειλητικός φορέας μπόρεσε να «κατεβάσει» και να εκτελέσει διάφορα κακόβουλα ωφέλιμα φορτία και, επομένως, να προσαρμόσει το ωφέλιμο φορτίο που θα ήταν κατάλληλο για το συγκεκριμένο περιβάλλον συσκευής, όπως η έκδοση Android και οι εγκατεστημένες εφαρμογές. Με αυτόν τον τρόπο, ο φορέας μπόρεσε να αποφύγει την υπερφόρτωση της εφαρμογής με περιττές λειτουργίες και ταυτόχρονα να συλλέξει τις απαραίτητες πληροφορίες.
Περαιτέρω έρευνα έδειξε ότι το PhantomLance διανεμήθηκε κυρίως σε διάφορες πλατφόρμες και αγορές, συμπεριλαμβανομένων, μεταξύ άλλων, του Google Play και του APKpure. Για να κάνουν τις εφαρμογές να φαίνονται νόμιμες, σε σχεδόν κάθε περίπτωση ανάπτυξης κακόβουλου λογισμικού, οι απειλητικοί φορείς προσπάθησαν να δημιουργήσουν ένα ψεύτικο προφίλ προγραμματιστή δημιουργώντας έναν σχετικό λογαριασμό Github. Προκειμένου να αποφευχθούν οι μηχανισμοί φιλτραρίσματος που χρησιμοποιούν οι αγορές, οι πρώτες εκδόσεις της εφαρμογής που «ανέβασε» ο απειλητικός φορέας στις αγορές δεν περιείχαν κακόβουλα ωφέλιμα φορτία. Ωστόσο, με μεταγενέστερες ενημερώσεις, οι εφαρμογές έλαβαν και κακόβουλα ωφέλιμα φορτία αλλά και έναν κωδικό για τον διαμοιρασμό και την εκτέλεση αυτών των ωφέλιμων φορτίων.
Σύμφωνα με το Kaspersky Security Network, από το 2016, παρατηρήθηκαν περίπου 300 προσπάθειες «μόλυνσης» σε συσκευές Android σε χώρες όπως η Ινδία, το Βιετνάμ, το Μπαγκλαντές και η Ινδονησία.
Χρησιμοποιώντας τη μηχανή απόδοσης κακόβουλου λογισμικού της Kaspersky – ένα εσωτερικό εργαλείο για να βρουν ομοιότητες μεταξύ διαφορετικών τμημάτων κακόβουλου κώδικα – οι ερευνητές μπόρεσαν να προσδιορίσουν ότι τα ωφέλιμα φορτία του PhantomLance ήταν τουλάχιστον 20% παρόμοια με αυτά μιας από τις παλαιότερες εκστρατείες Android που σχετίζονται με τον OceanLotus, έναν φορέα που λειτουργεί τουλάχιστον από το 2013 και του οποίου οι στόχοι βρίσκονται κυρίως στη Νοτιοανατολική Ασία. Επιπλέον, βρέθηκαν αρκετές σημαντικές αλληλεπικαλύψεις με τις δραστηριότητες του OceanLotus που αναφέρθηκαν προηγουμένως σε Windows και MacOS. Έτσι, οι ερευνητές της Kaspersky πιστεύουν ότι η εκστρατεία PhantomLance μπορεί να συνδεθεί με το OceanLotus με μερική επιφύλαξη.
Η Kaspersky ανέφερε όλα τα δείγματα που ανακαλύφθηκαν στους ιδιοκτήτες νόμιμων καταστημάτων εφαρμογών. Το Google Play επιβεβαίωσε ότι έχει «κατεβάσει» όλες τις σχετικές εφαρμογές.
«Αυτή η εκστρατεία είναι ένα εξαιρετικό παράδειγμα για το πώς ο εντοπισμός των εξελιγμένων απειλητικών φορέων γίνεται ολοένα και δυσκολότερος. Το PhantomLance συνεχίζεται για πάνω από πέντε χρόνια και οι απειλητικοί φορείς κατάφεραν να παρακάμψουν τα φίλτρα των καταστημάτων εφαρμογών αρκετές φορές, χρησιμοποιώντας προηγμένες τεχνικές για την επίτευξη των στόχων τους. Μπορούμε επίσης να δούμε ότι η χρήση πλατφορμών κινητής τηλεφωνίας ως πρωταρχικού σημείου «μόλυνσης» γίνεται πιο δημοφιλής, με όλο και περισσότερους φορείς να προχωρούν σε αυτόν τον τομέα. Αυτές οι εξελίξεις υπογραμμίζουν τη σημασία της συνεχούς βελτίωσης των πληροφοριών σχετικά με τις απειλές και των υπηρεσιών υποστήριξης, οι οποίες θα μπορούσαν να βοηθήσουν στην παρακολούθηση των απειλητικών φορέων και στην εύρεση αλληλεπικαλύψεων μεταξύ διαφόρων εκστρατειών», σχολιάζει ο Alexey Firsh, ερευνητής ασφαλείας στο Kaspersky’s GReAT.
Η πλήρης έκθεση βρίσκεται διαθέσιμη στον ειδικό ιστότοπο Securelist.
Για να μην πέσετε θύμα στοχευμένων επιθέσεων, η Kaspersky συνιστά τα εξής:
Προς καταναλωτές:
- Χρησιμοποιήστε μια αξιόπιστη λύση ασφάλειας, όπως το Kaspersky Security Cloud, για ολοκληρωμένη προστασία από ένα ευρύ φάσμα απειλών. Η λύση ενσωματώνει το Kaspersky Secure Connection που αποτρέπει την παρακολούθηση της δραστηριότητάς σας στο διαδίκτυο, αποκρύπτει τη διεύθυνση IP και την τοποθεσία σας και μεταφέρει τα δεδομένα σας μέσω μιας ασφαλούς σήραγγας VPN.
Προς επιχειρήσεις:
- Βεβαιωθείτε ότι η λύση ασφάλειας τερματικών σημείων που χρησιμοποιείτε διαθέτει προστασία για φορητές συσκευές, όπως το Kaspersky Security for Mobile. Θα πρέπει να επιτρέπει στον έλεγχο της εφαρμογής να διασφαλίζει ότι μόνο νόμιμες εφαρμογές μπορούν να εγκατασταθούν σε μια εταιρική συσκευή, καθώς και προστασία rooting που επιτρέπει τον αποκλεισμό των rooted συσκευών ή την αφαίρεση εταιρικών δεδομένων που είναι αποθηκευμένα σε αυτές.
- Παρέχετε στην ομάδα του Κέντρου Επιχειρήσεων Ασφαλείας (SOC) πρόσβαση στην πιο πρόσφατη πληροφόρηση για απειλές και μείνετε ενημερωμένοι με νέα και αναδυόμενα εργαλεία, τεχνικές και τακτικές που χρησιμοποιούνται από απειλητικούς φορείς και εγκληματίες στον κυβερνοχώρο.
- Για ανίχνευση επιπέδου τερματικού σημείου, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών, εφαρμόστε λύσεις EDR, όπως το Kaspersky Endpoint Detection and Response.
- Εκτός από την υιοθέτηση ουσιαστικής προστασίας τερματικού σημείου, εφαρμόστε μια εταιρική λύση ασφαλείας που εντοπίζει προηγμένες απειλές σε επίπεδο δικτύου σε πρώιμο στάδιο, όπως το Kaspersky Anti Targeted Attack Platform.