PhantomLance: verfijnde Android spionagecampagne

| Kaspersky | 2 min | 30 april 2020 14:20
Foto: Een voorbeeld van spyware in Google Play vermomd als een browser cleaner | Copyright: Kaspersky
Kaspersky onderzoekers hebben een geavanceerde kwaadaardige campagne ontdekt, gericht op Android-gebruikers die waarschijnlijk kan worden toegeschreven aan de OceanLotus geavanceerde aanhoudende dreiging actor. De campagne, die PhantomLance wordt genoemd, is sinds ten minste 2015 actief en loopt nog steeds. Er zijn meerdere versies van complexe spyware en slimme distributietactieken, waaronder distributie via tientallen applicaties op de officiële markt van Google Play.
 
In juli 2019 meldden veiligheidsonderzoekers een nieuw spyware sample op Google Play. Het rapport trok de aandacht van Kaspersky vanwege de ongebruikelijke eigenschappen. Met name het verfijnde niveau en het gedrag was heel anders dan Trojaanse paarden die gewoonlijk naar officiële app stores werden geüpload. Onderzoekers van Kaspersky vonden een zeer vergelijkbaar sample van deze malware op Google Play. Als makers van malware erin slagen om een kwaadaardige app te uploaden in een legitieme app store, investeren ze vaak aanzienlijk in het promoten van de applicatie om het aantal installaties – en dus slachtoffers - te verhogen. Dit was bij deze nieuw ontdekte kwaadaardige apps niet het geval. Voor onderzoekers was dit een aanwijzing op gerichte APT-activiteit. Met aanvullend onderzoek zijn verschillende versies van deze malware met tientallen samples ontdekt, die met elkaar verbonden waren met meerdere code-overeenkomsten.
 
De functionaliteit van alle samples was hetzelfde - het hoofddoel van de spyware was het verzamelen van informatie. Naast de geolocatie, oproeplogs, contacttoegang en SMS-toegang, kon de applicatie ook een lijst van geïnstalleerde applicaties verzamelen, evenals apparaat informatie - zoals het model en de OS-versie. Bovendien kon de dreigingsactor verschillende kwaadaardige payloads downloaden en uitvoeren, en zo de payload aanpassen aan de specifieke apparaatomgeving zoals de Android-versie en geïnstalleerde apps. Op deze manier was de actor in staat om te voorkomen dat de applicatie werd overbelast met onnodige functies en tegelijkertijd de benodigde informatie te verzamelen.
 
Nader onderzoek wees uit dat PhantomLance voornamelijk werd gedistribueerd op platforms en marktplaatsen, waaronder Google Play en APKpure. Om applicaties legitiem te laten lijken, bouwden de bedreigers in bijna elk geval een nep-ontwikkelaarsprofiel op door een bijbehorend Github-account aan te maken. Om de filtermechanismen van marktplaatsen te omzeilen, bevatten de eerste versies van de applicatie geen kwaadaardige payloads. Bij latere updates ontvingen de applicaties echter zowel schadelijke payloads, als een code om deze payloads te droppen en uit te voeren.
 
Volgens Kaspersky Security Network zijn er sinds 2016 ongeveer 300 infectiepogingen waargenomen op Android-apparaten in landen als India, Vietnam, Bangladesh en Indonesië. Hoewel de detectiestatistieken onder meer collaterale infecties omvatten, viel Vietnam op door het aantal aanvalspogingen; sommige kwaadaardige toepassingen die in de campagne zijn gebruikt, werden uitsluitend in het Vietnamees uitgevoerd.
 
Met behulp van Kaspersky's malware attribution engine - een intern hulpmiddel om overeenkomsten te vinden tussen verschillende stukken kwaadaardige code - konden de onderzoekers vaststellen dat de payloads van PhantomLance ten minste 20% lijken op oudere Android-campagnes die in verband worden gebracht met OceanLotus. Deze actor is al zeker sinds 2013 actief en de doelwitten bevinden zich voornamelijk in Zuidoost-Azië. Bovendien werden verschillende belangrijke overlappingen gevonden met eerder gerapporteerde activiteiten van OceanLotus op Windows en MacOS. Op basis hiervan geloven Kaspersky onderzoekers dat de PhantomLance campagne aan OceanLotus kan worden gekoppeld.
 
Kaspersky meldde alle ontdekte samples aan de eigenaren van de legitieme appstores. Google Play heeft bevestigd dat ze de applicaties hebben verwijderd.
 
Het volledige verslag van de PhantomLance-campagne is beschikbaar op Securelist.

Over Kaspersky

Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.
Meer Kaspersky

Hoe vind je dit artikel?


Geef jij de eerste rating?
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
20191029200614.jpg
Drive value with data
20191030102114.jpg
Deliver measurable impact on your business
20191030103431.png
Conference by app developers, for app developers!
20191030101402.jpg
De grootste Nederlandse site over Android
20191030104826.jpg
We make IT spark!
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191029224512.jpg
Het no-nonsense internetbureau
20191105203105.png
Krijg inzicht in bedrijfsprocessen!
20191030104037.png
Bringing cultures together and make your team work!
Alle rechten voorbehouden © 2019-2020, TechVisor