A Campanha PhantomLance Viola a Loja do Google Play
Os pesquisadores de segurança descobriram recentemente uma campanha de malware direcionada diretamente aos dispositivos Android através de aplicativos na Loja do Google Play, que eles chamaram de PhantomLance.
Foi revelado que um número significativo de aplicativos que estavam sendo distribuídos pela Loja do Google Play, bem como outras lojas de aplicativos como a APKCombo e a APKpure, foram infectados por um software malicioso usado para espionar pessoas e roubar os seus dados confidenciais.
Segundo os pesquisadores da Kaspersky, a campanha de malware está em andamento há pelo menos quatro anos. É provável que seja o trabalho do grupo de Ameaça Persistente Avançada (APT) OceanLotus, também conhecido como APT32. Suspeita-se que o grupo esteja operando fora do Vietnã, e alguns acreditam que ele tem uma conexão com o governo vietnamita, devido aos seus objetivos.
O spyware PhantomLance foi detectado pela primeira vez em 2019, visando usuários em Bangladesh, Índia, Indonésia e Vietnã, e coletando informações como contatos, registros de chamadas, dados de localização, atividade de SMS, especificações de dispositivos e uma lista de todos os aplicativos instalados.
No início, os pesquisadores descobriram um aplicativo na Loja do Googler Play que fornecia um backdoor, que permitia que os invasores instalassem malware e filtrassem dados dos dispositivos Android. Após uma análise mais aprofundada, os analistas encontraram semelhanças em vários outros aplicativos, que se distinguiram com níveis mais altos de criptografia e complexidade, em comparação com a maioria dos outros malwares que roubam informações.
O pesquisador de segurança Alexey Firsh comentou o fato, dizendo: '' O PhantomLance já dura mais de cinco anos e os autores de ameaças conseguiram contornar os filtros das lojas de aplicativos várias vezes, usando técnicas avançadas para atingir os seus objetivos ''.
Os hackers geralmente carregavam uma versão inicial de um aplicativo de aparência legítima na Loja do Google Play, usando um falso perfil de criador do GitHub - para maior autenticidade. Depois que o aplicativo fosse aceito e limpo por todas as digitalizações de segurança, os invasores o atualizariam com recursos maliciosos adicionais e solicitações de acesso a informações valiosas nos dispositivos infectados.
Os recursos dos aplicativos maliciosos variavam, pois foram ajustados de acordo com a região geográfica específica em que foram usados. Isso permitiu que os autores de ameaças evitassem sobrecarregar os aplicativos com recursos desnecessários enquanto gerenciavam a coleta de todas as informações que eles conseguiam acessar.
O grupo OceanLotus está ativo desde pelo menos 2013 e já foi vinculado a várias campanhas de reconhecimento, algumas das quais direcionadas ao governo chinês. Um relatório recente do FireEye observou que o Ministério da Administração de Emergências da China foi recentemente alvo do OceanLotus, na tentativa de localizar e roubar dados relacionados à pandemia do COVID-19.
O Google respondeu à campanha PhantomLance removendo os aplicativos envolvidos da sua loja. Ainda assim, cópias desses aplicativos podem ser encontradas em repositórios de espelhos, que ironicamente afirmam que o pacote de instalação está livre de vírus, pois foi baixado diretamente da Loja do Google Play.