Kaspersky onderzoekers hebben een geavanceerde kwaadaardige campagne ontdekt, gericht op Android-gebruikers die waarschijnlijk kan worden toegeschreven aan de 'OceanLotus' geavanceerde aanhoudende dreiging actor. De campagne, die 'PhantomLance' wordt genoemd, is sinds ten minste 2015 actief en loopt nog steeds. Er zijn meerdere versies van complexe spyware en slimme distributietactieken, waaronder distributie via tientallen applicaties op de officiële markt van Google Play.
Spyware sample op Google Play
In juli 2019 meldden veiligheidsonderzoekers een nieuw spyware sample op Google Play. Het rapport trok de aandacht van Kaspersky vanwege de ongebruikelijke eigenschappen. Met name het verfijnde niveau en het gedrag was heel anders dan Trojaanse paarden die gewoonlijk naar officiële app stores werden geüpload. Onderzoekers van Kaspersky vonden een zeer vergelijkbaar sample van deze malware op Google Play. Als makers van malware erin slagen om een kwaadaardige app te uploaden in een legitieme app store, investeren ze vaak aanzienlijk in het promoten van de applicatie om het aantal installaties – en dus slachtoffers - te verhogen. Dit was bij deze nieuw ontdekte kwaadaardige apps niet het geval. Voor onderzoekers was dit een aanwijzing op gerichte APT-activiteit. Met aanvullend onderzoek zijn verschillende versies van deze malware met tientallen samples ontdekt, die met elkaar verbonden waren met meerdere code-overeenkomsten.
Het verzamelen van informatie
De functionaliteit van alle samples was hetzelfde - het hoofddoel van de spyware was het verzamelen van informatie. Naast de geolocatie, oproeplogs, contacttoegang en SMS-toegang, kon de applicatie ook een lijst van geïnstalleerde applicaties verzamelen, evenals apparaat informatie - zoals het model en de OS-versie. Bovendien kon de dreigingsactor verschillende kwaadaardige payloads downloaden en uitvoeren, en zo de payload aanpassen aan de specifieke apparaatomgeving zoals de Android-versie en geïnstalleerde apps. Op deze manier was de actor in staat om te voorkomen dat de applicatie werd overbelast met onnodige functies en tegelijkertijd de benodigde informatie te verzamelen.
Nep-ontwikkelaarsprofiel
Nader onderzoek wees uit dat PhantomLance voornamelijk werd gedistribueerd op platforms en marktplaatsen, waaronder Google Play en APKpure. Om applicaties legitiem te laten lijken, bouwden de bedreigers in bijna elk geval een nep-ontwikkelaarsprofiel op door een bijbehorend Github-account aan te maken. Om de filtermechanismen van marktplaatsen te omzeilen, bevatten de eerste versies van de applicatie geen kwaadaardige payloads. Bij latere updates ontvingen de applicaties echter zowel schadelijke payloads, als een code om deze payloads te droppen en uit te voeren.
Infectiepogingen Android-apparaten
Volgens Kaspersky Security Network zijn er sinds 2016 ongeveer 300 infectiepogingen waargenomen op Android-apparaten in landen als India, Vietnam, Bangladesh en Indonesië. Hoewel de detectiestatistieken onder meer collaterale infecties omvatten, viel Vietnam op door het aantal aanvalspogingen; sommige kwaadaardige toepassingen die in de campagne zijn gebruikt, werden uitsluitend in het Vietnamees uitgevoerd.
Voornamelijk in Zuidoost-Azië
Met behulp van Kaspersky's malware attribution engine - een intern hulpmiddel om overeenkomsten te vinden tussen verschillende stukken kwaadaardige code - konden de onderzoekers vaststellen dat de payloads van PhantomLance ten minste 20% lijken op oudere Android-campagnes die in verband worden gebracht met OceanLotus. Deze actor is al zeker sinds 2013 actief en de doelwitten bevinden zich voornamelijk in Zuidoost-Azië. Bovendien werden verschillende belangrijke overlappingen gevonden met eerder gerapporteerde activiteiten van OceanLotus op Windows en MacOS. Op basis hiervan geloven Kaspersky onderzoekers dat de PhantomLance campagne aan OceanLotus kan worden gekoppeld.
Kaspersky meldde alle ontdekte samples aan de eigenaren van de legitieme appstores. Google Play heeft bevestigd dat ze de applicaties hebben verwijderd.
Bron: Kaspersky