Badacze z firmy Kaspersky wykryli wyrafinowaną kampanię cyberprzestępczą wymierzoną w użytkowników urządzeń z systemem Android, która ze średnim prawdopodobieństwem może być przypisana ugrupowaniu o nazwie OceanLotus. Kampania ta – określona jako PhantomLance – była prowadzona od co najmniej 2015 roku i nadal jest aktywna, wykorzystując różne wersje złożonego oprogramowania spyware (którego celem jest gromadzenie danych ofiar),
jak również inteligentne taktyki dystrybucji, łącznie z rozprzestrzenianiem za pośrednictwem dziesiątek aplikacji w oficjalnym Sklepie Play firmy Google.
W lipcu 2019 r. badacze bezpieczeństwa poinformowali o nowej próbce oprogramowania spyware znalezionej w Sklepie Play firmy Google. Zwróciła ona uwagę firmy Kaspersky ze względu na nietypowe cechy – poziom wyrafinowania i zachowanie znacząco odbiegały od powszechnych trojanów umieszczanych w oficjalnych sklepach z aplikacjami. Badacze zdołali wykryć kolejną, bardzo podobną próbkę tego szkodnika w sklepie firmy Google. Twórcy szkodliwego oprogramowania, którym uda się umieścić szkodliwą aplikację w legalnym sklepie, zwykle inwestują wiele zasobów w jej promowanie w celu zwiększenia liczby instalacji, a tym samym liczby ofiar. Inaczej było w przypadku opisywanych nowo wykrytych szkodliwych aplikacji. Stojące za nimi osoby wydawały się niezainteresowane masowym rozprzestrzenianiem. Skłoniło to badaczy do wniosku, że mają do czynienia z ukierunkowaną aktywnością APT. Dodatkowe badanie pozwoliło wykryć kilka wersji tego szkodnika: dziesiątki próbek łączyły liczne podobieństwa w kodzie.
Wszystkie próbki miały podobną funkcjonalność – głównym celem oprogramowania spyware było gromadzenie informacji. O ile funkcjonalność podstawowa nie była szczególnie szeroka – obejmowała geolokalizację, informacje o połączeniach, dostęp do kontaktów oraz SMS-ów – aplikacja potrafiła również gromadzić listę zainstalowanych aplikacji i informacje dotyczące urządzenia, takie jak jego model i wersja systemu operacyjnego. Co więcej, cyberprzestępcy mogli pobierać i wykonywać różne szkodliwe funkcje, dobierając taką, która pasowałaby do określonego środowiska urządzenia, jak wersja Androida czy zainstalowane aplikacje. Dzięki temu nie musieli obciążać swoich szkodliwych narzędzi niepotrzebnymi funkcjami, a jednocześnie w dalszym ciągu gromadzili potrzebne informacje.
Dalsze badanie wykazało, że PhantomLance był głównie rozprzestrzeniany za pomocą różnych platform i sklepów, w tym m.in. Google Play oraz APKpure. Aby zwiększyć wiarygodność aplikacji, w niemal każdym przypadku cyberprzestępcy próbowali zbudować fałszywy profil twórcy poprzez stworzenie odpowiedniego konta na Github. W celu obejścia mechanizmów filtrowania stosowanych przez sklepy pierwsze umieszczone w nich aplikacje nie zawierały żadnych szkodliwych funkcji. Jednak wraz z późniejszymi aktualizacjami aplikacje zostały wyposażone zarówno w szkodliwe funkcje, jak i kod umożliwiający ich zainstalowanie i wykonanie.
Z danych chmury Kaspersky Security Network wynika, że od 2016 r. zaobserwowano około 300 prób infekcji na urządzeniach z systemem Android w takich państwach jak Indie, Wietnam, Bangladesz oraz Indonezja. Co ciekawe, niektóre szkodliwe aplikacje wykorzystane w kampanii zostały stworzone wyłącznie w języku wietnamskim.
Przy użyciu wewnętrznych narzędzi firmy Kaspersky służących do znajdowania podobieństw między różnymi fragmentami szkodliwego kodu badacze ustalili, że szkodliwe funkcje wykorzystane w kampanii PhantomLance były co najmniej w 20% podobne do tych znanych z jednej ze starszych kampanii wymierzonej w system Android i przypisywanej gangowi OceanLotus. Jest to cyberugrupowanie działające od co najmniej 2013 r., atakujące cele znajdujące się w większości w Azji Południowo-Wschodniej. Co więcej, zidentyfikowano kilka istotnych zbieżności z wcześniejszą aktywnością ugrupowania OceanLotus dotyczącą systemów Windows oraz macOS. Dlatego badacze z firmy Kaspersky uważają, że kampania PhantomLance może być ze średnim prawdopodobieństwem powiązana z ugrupowaniem OceanLotus.
Firma Kaspersky poinformowała o wszystkich wykrytych próbkach właścicieli legalnych sklepów z aplikacjami. Firma Google zareagowała błyskawicznie i poinformowała już o usunięciu szkodliwych aplikacji związanych z kampanią PhantomLance ze swojego sklepu.
– Kampania ta stanowi doskonały przykład tego, jak zaawansowane cyberugrupowania wypływają na głębsze wody i stają się trudniejsze do wykrycia. Gang PhantomLance działa od ponad pięciu lat i kilkakrotnie zdołał obejść filtry sklepów z aplikacjami, wykorzystując do osiągnięcia swych celów zaawansowane techniki. Można również zauważyć, że w celu rozprzestrzeniania infekcji coraz częściej wykorzystuje się platformy mobilne i coraz więcej ugrupowań osiąga wyższy poziom zaawansowania w tym obszarze. To pokazuje, jak istotne jest ciągłe doskonalenie analizy zagrożeń oraz usług pomocniczych, które mogą pomóc w śledzeniu cyberprzestępców oraz wykrywaniu podobieństw między różnymi kampaniami – powiedział Alex Firsh, badacz ds. cyberbezpieczeństwa z zespołu GReAT firmy Kaspersky.