PhantomLance: un Trojan su Google Play

Gli esperti di Kaspersky hanno individuato su Google Play il Trojan backdoor per Android denominato PhantomLance.

Lo scorso luglio, i nostri colleghi di Doctor Web hanno rilevato un  Trojan backdoor su Google Play. Queste scoperte non sono esattamente cosa di tutti i giorni, ma non sono nemmeno così rare, i ricercatori possono rilevare dei Trojan su Google Play  e spesso centinaia tutti in una volta.

Questo backdoor, tuttavia, era sorprendentemente sofisticata rispetto ai malware che si è soliti trovare su Google Play, così i nostri esperti hanno deciso di scavare più a fondo. Hanno condotto una loro indagine e hanno scoperto che il malware fa parte di una campagna dannosa (che abbiamo denominato PhantomLance), in corso dalla fine del 2015.

Cosa può fare PhantomLance

I nostri esperti hanno rilevato diverse versioni di PhantomLance. Nonostante la sua crescente complessità e le differenze nel tempo di apparizione, sono abbastanza simili in termini di funzionalità.

L’obiettivo principale del Trojan PhantomLance è quello di raccogliere informazioni riservate dal dispositivo della vittima. Il malware è in grado di fornire ai suoi creatori dati di localizzazione, registro delle chiamate, messaggi di testo, elenchi di applicazioni installate e informazioni complete sullo smartphone infetto. Inoltre, le sue funzionalità possono essere ampliate in qualsiasi momento semplicemente caricando moduli aggiuntivi dal server C&C.

Diffusione di PhantomLance

Google Play è la principale piattaforma di distribuzione del malware. È stato trovato anche in repository di terze parti, ma per la maggior parte delle volte si tratta per lo più di copie dell’app store ufficiale di Google.

Possiamo dire con certezza che le prime app infettate da una versione del Trojan sono comparse nello store nell’estate del 2018. Il malware è stato trovato nascosto in utility per la modifica di font, per la rimozione di annunci, per la pulizia del sistema e così via.

Un’app su Google Play che si è scoperto contenere la backdoor PhantomLance.

Le applicazioni contenenti PhantomLance sono state tutte rimosse da Google Play, naturalmente, ma si possono ancora trovare delle copie in repository mirror. Ironia della sorte, alcuni di questi repository mirror affermano che il pacchetto di installazione di PhantomLance sia stato scaricato direttamente da Google Play, rassicurando l’utente circa l’assenza di virus.

Come hanno fatto i cybercriminali a introdurre di nascosto il loro Trojan nello store ufficiale di Google? In primo luogo, per una maggiore autenticità, i cybercriminali hanno creato un profilo di ogni sviluppatore su GitHub. Questi profili contenevano  semplicemente una specie di contratto di licenza. Tuttavia, avere un profilo su GitHub apparentemente conferisce agli sviluppatori una certa rispettabilità.

In secondo luogo, le app che i creatori di PhantomLance hanno inizialmente caricato nello store non erano dannose. Le prime versioni dei programmi non contenevano alcuna caratteristica sospetta, e quindi hanno superato i controlli di Google Play a pieni voti. Solo qualche tempo dopo, con gli aggiornamenti, le app hanno acquisito caratteristiche dannose, come la capacità di rubare dati.

Gli obiettivi di PhantomLance

A giudicare dalla geografia della sua diffusione, così come dalla presenza di versioni vietnamite delle applicazioni dannose negli store online, riteniamo che i principali obiettivi dei creatori di PhantomLance fossero gli utenti provenienti dal Vietnam.

Inoltre, i nostri esperti hanno rilevato una serie di caratteristiche che collegano PhantomLance con il gruppo OceanLotus,  responsabile della creazione di una gamma di malware rivolta anch’essa agli utenti del Vietnam.

Il set di strumenti malware OceanLotus precedentemente analizzato comprende una famiglia di backdoor macOS, una famiglia di backdoor Windows e un set di Trojan Android, la cui attività è stata individuata nel periodo 2014-2017. I nostri esperti sono giunti alla conclusione che PhantomLance sia subentrata ai suddetti Trojan Android a partire dal 2016.

PhantomLance è vincolato ad altre armi malware di  OceanLotus.

Come proteggersi da PhantomLance

Uno dei consigli che ripetiamo spesso nei post sul malware per Android è: “installate le applicazioni solo da Google Play”. Tuttavia, PhantomLance dimostra ancora una volta che il malware può talvolta ingannare anche i giganti di Internet.

Google si impegna molto per mantenere il suo app store sicuro e libero da malware (altrimenti ci imbatteremmo molto più spesso in software dannosi o sospetti), ma le capacità dell’azienda non sono infinite e gli hacker hanno molta inventiva. Pertanto, il semplice fatto che un’app sia su Google Play non è garanzia di sicurezza. Considerate sempre altri fattori per non essere vittime di Trojan su Android:

  • Date la preferenza alle applicazioni di sviluppatori di fiducia;
  • Prestate attenzione alle valutazioni delle app e alle recensioni degli utenti;
  • Analizzate attentamente le autorizzazioni che un’ applicazione richiede, e non esitate a rifiutare se pensate che siano eccessive. Ad esempio, un’app meteo probabilmente non ha bisogno di accedere ai vostri contatti e messaggi o un filtro fotografico non ha bisogno di conoscere la vostra posizione;
  • Analizzate le app installate sul vostro dispositivo Android servendovi di una soluzione di sicurezza affidabile.

Per ulteriori informazioni tecniche riguardo PhantomLance, potete leggee il report dettagliato curato dai nostri esperti su Securelist.

Consigli