PhantomLance

O grupo de hackers PhantomLance é uma organização que chamou a atenção de pesquisadores de segurança cibernética recentemente. Depois de estudar a atividade do grupo PhantomLance, os especialistas em malware descobriram que esta organização realizou uma campanha com duração de quatro anos, cujo objetivo era a distribuição de Trojans direcionados aos dispositivos Android.

O Trojan em questão foi chamado de PhantomLance, e parece estar se espalhando via aplicativos Android fraudulentos. Os aplicativos associados ao Trojan PhantomLance foram hospedados em lojas de aplicativos de terceiros, bem como na loja oficial do Google Play. Não é incomum que um malware contorne as verificações de segurança da loja do Google Play, portanto, não confie cegamente nos aplicativos hospedados lá. Os aplicativos que servem para distribuir o mercado do Trojan PhantomLance são ferramentas de aprimoramento que melhorarão o desempenho dos dispositivos dos usuários. Os aplicativos falsos também pretendem oferecer aos usuários atualizações úteis e outros serviços que os ajudarão a manter seus dispositivos. No entanto, o objetivo final desses aplicativos não é fornecer serviços valiosos aos usuários, mas instalar o Trojan PhantomLance em hosts comprometidos.

Entre os aplicativos falsos que se propagam, o Trojan PhantomLance é um aplicativo disfarçado como um plug-in Open GL. O plug-in em questão visa permitir que os usuários joguem jogos para celular que não estão disponíveis para a maioria das pessoas. Este aplicativo gerou um número significativo de downloads e é um dos aplicativos desonestos mais populares que estão espalhando o malware PhantomLance.

O Trojan PhantomLance permite que seus operadores obtenham uma grande quantidade de informações dos hosts infectados, incluindo:

• Mensagens de texto.
• Lista de contatos.
• Histórico de chamadas.
• Detalhes de hardware.
• Detalhes do software.

O malware PhantomLance é capaz de executar operações de reconhecimento e monitorar a atividade da vítima. Qualquer informação valiosa coletada será exfiltrada para o servidor de C&C (Comando e Controle) dos atacantes. Por último, mas não menos importante, o Trojan PhantomLance pode servir como um backdoor que permite aos invasores plantar malware adicional nos dispositivos Android infectados.

Para escapar dos olhares indiscretos dos especialistas em segurança cibernética, os autores do Trojan PhantomLance se certificaram não apenas de criptografar, mas também ofuscar fortemente o código da ameaça. Portanto, o trabalho dos pesquisadores de malware se torna muito mais desafiador. Isso, combinado ao fato de a operação do Trojan PhantomLance estar em andamento há quatro anos, significa que os autores dessa ameaça são altamente qualificados e experientes no campo de malware para o Android, certamente.

Os usuários do Android precisam ter muito cuidado ao instalar um novo software, pois mesmo os aplicativos hospedados na loja oficial do Google Play podem ser usados como vetores de infecção para a distribuição de malware. É melhor confiar em um aplicativo anti-vírus respeitável para proteger o seu dispositivo Android de ameaças como o Trojan PhantomLance.