Спецпроекты

Безопасность Стратегия безопасности Мобильность Маркет

«Лаборатория Касперского» предупредила о целевой атаке на мобильные устройства в Юго-Восточной Азии

«Лаборатория Касперского» обнаружила сложную угрозу, нацеленную на пользователей Android-устройств и активную как минимум с 2015 г. В кампании, получившей название Phantomlance, используется множество версий сложного шпионского ПО и тактик распространения, в том числе через десятки приложений в магазине Google Play. С 2016 г. эксперты обнаружили около 300 попыток заражения в Индии, Вьетнаме, Бангладеш и Индонезии. На первом месте по числу попыток атак оказался Вьетнам, некоторые из вредоносных образцов были написаны на вьетнамском языке.

По данным «Лаборатории Касперского», вредоносный код Phantomlance схож с тем, который использовался APT-группировкой Oceanlotus, известной с 2013 г. Ее жертвы в основном располагались в Юго-Восточной Азии. Более того, было обнаружено сходство с активностью Oceanlotus на Windows и macOS, поэтому в «Лаборатории Касперского» считают, что кампания Phantomlance может иметь отношение к Oceanlotus.

«Лаборатория Касперского» начала свое расследование в июле 2019 г., когда внимание экспертов компании привлек отчет сторонних исследователей, в котором сообщалось о необычном шпионском ПО в Google Play. Его уровень сложности и поведение весьма отличались от характеристик других троянцев, загружаемых в официальные магазины приложений. Затем исследователи «Лаборатории Касперского» нашли на этой же платформе еще один подобный образец. Обычно авторы зловредов, загрузив вредоносное приложение в легитимный магазин, инвестируют в его продвижение, чтобы увеличить число скачиваний и, как следствие, число жертв. Но не в этот раз. Авторы этого зловреда не были заинтересованы в массовом распространении, а значит, он использовался для APT-атаки. В ходе дальнейшего расследования эксперты обнаружили еще десятки образцов со сходным кодом.

Главная цель найденного шпионского ПО заключалась в сборе данных. Его базовая функциональность включала в себя доступ к данным геолокации, журналу звонков, списку контактов и SMS. Также зловред мог получить список установленных приложений и информацию об устройстве, такую как модель и версию ОС. На основании полученных исходных данных об устройстве злоумышленники могли отправлять на зараженное устройство дополнительные модули, тем самым существенно расширяя вредоносный функционал, при этом не нагружая лишними модулями сам образец зловреда.

Phantomlance распространялся главным образом с помощью разных мобильных платформ и магазинов, включая Google Play и APKpure, но не ограничивался ими. Для придания приложениям легитимного вида злоумышленники создавали фальшивый профиль разработчика на Github, а чтобы обойти фильтры, они сначала загружали в магазины версии приложения без вредоносного кода, а затем уже вносили необходимые им обновления.

«Лаборатория Касперского» сообщила обо всех обнаруженных образцах владельцам легитимных магазинов приложений. Google Play подтвердил, что данные приложения были удалены.

«Эта кампания представляет собой яркий пример того, как авторы сложных угроз используют все более изощренные техники, которые становится все труднее обнаруживать. Кампания Phantomlance активна более пяти лет, и в течение этого времени злоумышленники обходили фильтры магазинов приложений с помощью хитроумных методов. Мы видим, что все чаще целью шпионажа становятся мобильные платформы. Вот почему очень важно улучшать потоки аналитических данных об угрозах и различные вспомогательные сервисы, которые помогают выявлять злоумышленников и искать точки пересечения между разными APT-кампаниями», — сказал Алексей Фирш, антивирусный эксперт «Лаборатории Касперского».

Для защиты от целевых атак «Лаборатория Касперского» рекомендует пользователям использовать защитное решение для всесторонней защиты от широкого спектра угроз, такое как Kaspersky Security Cloud, а компаниям: предоставить сотрудникам центров мониторинга угроз (SOC) доступ к самым свежим данным об угрозах и обеспечить им возможность быть в курсе новейших инструментов, техник и тактик, используемых злоумышленниками; внедрить решение для защиты конечных устройств, такое как Kaspersky Endpoint Detection and Response. Решение должно включать в себя защиту мобильных устройств, а также обеспечивать контроль приложений, чтобы оградить корпоративное устройство от установки нелегитимных приложений, и защиту от рутования, чтобы блокировать рутованные устройства или удалять хранящиеся на них корпоративные данные; внедрить решение корпоративного уровня, которое детектирует сложные угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack.

Короткая ссылка