近日外媒報道,據卡巴斯基研究團隊警告稱,Google Play託管的惡意應用正在被黑客秘密監視和竊取Android用戶數據。據瞭解,該監視是來自所謂的“幽靈槍”(PhantomLance)組織行動,該運動已經開展了至少四年,目前也正在進行中,而且該惡意行動中至少有兩款軟件已經越過了谷歌的防線。
- 事件概述
根據卡巴斯基研究團隊的說法,在科技巨頭的官方Android移動應用程序存儲庫Google Play中發現了數十個與PhantomLance連接幷包含新木馬的惡意應用程序。此外,在APK的下載網站APKpure上也發現了惡意應用。
據悉,此前谷歌的Android應用程序商店從來沒有因為任何惡意軟件而備受關注。但是多年來,可疑的廣告軟件,甚至是銀行木馬,都在不斷地挑戰谷歌的安全檢查。如今,安全研究人員發現了一種似乎更為罕見的安卓濫用形式:間諜不斷將他們的目標黑客工具潛入遊戲商店和受害者的手機中。
卡巴斯基還表示,他們已經將PhantomLance行動與黑客組織“海洋蓮花”(OceanLotus)聯繫在一起。同時,外界也普遍認為,該間諜組織也可能是APT32,而且正在為越南政府工作。這表明,PhantomLance行動可能是在監視越南的東南亞鄰國的同時也在國內監視越南公民。例如,安全公司火眼(FireEye)曾將“海蓮花”與之前針對越南政治異見人士和博客作者的行動聯繫起來。
- 攻擊活動的發展過程
早在去年7月,PhantomLance針對谷歌遊戲的黑客活動第一次被曝光。當時,俄羅斯安全公司Dr. Web在谷歌的應用程序商店中發現了一個間諜軟件樣本,它模擬了一個圖形設計軟件的下載程序,但實際上它可以從Android手機上竊取用戶的聯繫人信息、通話記錄和短信內容。
隨後,卡巴斯基的研究人員發現了一個類似的間諜軟件應用程序,它模仿了一種名為browser Turbo的瀏覽器緩存清理工具,該工具在11月的谷歌系統中仍然活躍。在這兩款惡意應用被舉報後,谷歌將它們從谷歌播放中刪除。雖然這些應用程序的間諜能力相當基礎,但在一定程度上它們都是可以擴展的。
接著,研究人員找到了幾十個其他類似的間諜軟件應用,而且這些應用可以追溯到2015年,發現後谷歌立即把它們從Play Store中刪除,但仍然可以在應用存儲庫的存檔鏡像中看到它們。研究人員表示,在每一個案例中,黑客都創建了一個新賬戶,甚至還創建了Github存儲庫,供開發人員使用,以使應用程序顯得合法,並隱藏黑客的蹤跡。
其實,在大多數情況下,這些早期的應用程序比谷歌遊戲中使用的兩個應用程序更好地隱藏了它們的意圖,因為它們在安裝時被設計成一個相對乾淨的系統,直到後來才在更新中添加了所有惡意功能。在之後的某些情況下,這些惡意軟件的有效載荷似乎也利用了“根”權限,允許它們凌駕於Android的權限系統之上。對此,卡巴斯基表示,目前他們無法找到這些應用程序用來破解Android操作系統並獲得這些特權的實際代碼。
最後,卡巴斯基的庫爾特•鮑姆加特納研究員表示,PhantomLance的操作尤其令人不安,因為它顯示,即使谷歌將OceanLotus的大部分間諜軟件從谷歌中移除,但是它至少也會還有兩個惡意應用存在於系統中,這對系統而言是一個長期隱患。同時他表示,使用移動平臺作為主要感染點正變得越來越流行。
閱讀更多 EasySigning 的文章
