Кибершпионы годами атаковали пользователей Android через Google Play

Эксперты «Лаборатории Касперского» предупредили о текущей вредоносной кампании PhantomLance, в рамках которой вредоносные приложения в магазине Google Play Store тайно шпионят и крадут данные пользователей Android-устройств.

По словам специалистов, в магазине Google Play Store было обнаружено «множество» вредоносных приложений, связанных с PhantomLance и скрывающих новый троян. Кроме того, на сайте APKpure также были обнаружены подобные вредоносные приложения.

Еще в июле прошлого года специалисты компании Dr.Web обнаружили в Google Play вредонос, распространявшийся под видом приложения OpenGL Plugin. Он позволял удаленно управлять зараженными Android-устройствами и следить за их пользователями.

По словам исследователей «Лаборатории Касперского», подобный образец трояна был найден в Google Play Store. Основной целью PhantomLance является хищение пользовательской информации, такой как журналы телефонных звонков, контакты, GPS-данные, SMS-сообщения, а также информации о модели устройства и об ОС. Троян может создать бэкдор для передачи данных на C&C-сервер, а также для развертывания дополнительных вредоносных нагрузок.

Эксперты подозревают, что за кампанией может стоять киберпреступная группировка APT32 (также известная как OceanLotus). В ходе расследования они обнаружили фрагменты кода сходные с предыдущими кампаниями группировки и используемыми ею бэкдорами для macOS, а также части инфраструктуры, ранее связываемыми с атаками на пользователей Windows.

«Практически во всех случаях» были созданы поддельные профили разработчиков с соответствующими учетными записями на GitHub, а во избежание обнаружения первая версия каждого приложения, загруженного в Google Play Store или APKpure, не содержала вредоносного кода.

Специалисты сообщили Google обо всех найденных вредоносных программах, и компания удалила их из магазина.

Источник: https://www.securitylab.ru/news/507969.php