APT-кампания, нацеленная на мобильные устройства в Юго-Восточной Азии

«Лаборатория Касперского» обнаружила сложную угрозу, нацеленную на пользователей Android-устройств и активную как минимум с 2015 года. В кампании, получившей название PhantomLance, используется множество версий сложного шпионского ПО и тактик распространения, в том числе через десятки приложений в магазине Google Play. С 2016 года эксперты обнаружили около 300 попыток заражения в Индии, Вьетнаме, Бангладеш и Индонезии. На первом месте по числу попыток атак оказался Вьетнам, некоторые из вредоносных образцов были написаны на вьетнамском языке.

По данным «Лаборатории Касперского», вредоносный код PhantomLance схож с тем, который использовался APT-группировкой OceanLotus, известной с 2013 года. Её жертвы в основном располагались в Юго-Восточной Азии. Более того, было обнаружено сходство с активностью OceanLotus на Windows и macOS, поэтому в «Лаборатории Касперского» считают, что кампания PhantomLance может иметь отношение к OceanLotus.

«Лаборатория Касперского» начала своё расследование в июле 2019 года, когда внимание экспертов компании привлёк отчёт сторонних исследователей*, в котором сообщалось о необычном шпионском ПО в Google Play. Его уровень сложности и поведение весьма отличались от характеристик других троянцев, загружаемых в официальные магазины приложений. Затем исследователи «Лаборатории Касперского» нашли на этой же платформе ещё один подобный образец. Обычно авторы зловредов, загрузив вредоносное приложение в легитимный магазин, инвестируют в его продвижение, чтобы увеличить число скачиваний и, как следствие, число жертв. Но не в этот раз. Авторы этого зловреда не были заинтересованы в массовом распространении, а значит, он использовался для APT-атаки. В ходе дальнейшего расследования эксперты обнаружили ещё десятки образцов со сходным кодом.

Главная цель найденного шпионского ПО заключалась в сборе данных. Его базовая функциональность включала в себя доступ к данным геолокации, журналу звонков, списку контактов и СМС. Также зловред мог получить список установленных приложений и информацию об устройстве, такую как модель и версию ОС. На основании полученных исходных данных об устройстве злоумышленники могли отправлять на заражённое устройство дополнительные модули, тем самым существенно расширяя вредоносный функционал, при этом не нагружая лишними модулями сам образец зловреда.

PhantomLance распространялся главным образом с помощью разных мобильных платформ и магазинов, включая Google Play и APKpure, но не ограничивался ими. Для придания приложениям легитимного вида злоумышленники создавали фейковый профиль разработчика на GitHub, а чтобы обойти фильтры, они сначала загружали в магазины версии приложения без вредоносного кода, а затем уже вносили необходимые им обновления.

«Лаборатория Касперского» сообщила обо всех обнаруженных образцах владельцам легитимных магазинов приложений. Google Play подтвердил, что данные приложения были удалены.

«Эта кампания представляет собой яркий пример того, как авторы сложных угроз используют всё более изощрённые техники, которые становится всё труднее обнаруживать. Кампания PhantomLance активна более пяти лет, и в течение этого времени злоумышленники обходили фильтры магазинов приложений с помощью хитроумных методов. Мы видим, что всё чаще целью шпионажа становятся мобильные платформы. Вот почему очень важно улучшать потоки аналитических данных об угрозах и различные вспомогательные сервисы, которые помогают выявлять злоумышленников и искать точки пересечения между разными APT-кампаниями», — комментирует антивирусный эксперт «Лаборатории Касперского» Алексей Фирш.

Для защиты от киберугроз «Лаборатория Касперского» рекомендует пользователям использовать надёжное защитное решение, такое как Kaspersky Internet Security, а компаниям:

  • предоставить сотрудникам центров мониторинга угроз (SOC) доступ к самым свежим данным об угрозах и обеспечить им возможность быть в курсе новейших инструментов, техник и тактик, используемых злоумышленниками;
  • внедрить решение для защиты конечных устройств, такое как Kaspersky Endpoint Detection and Response. Решение должно включать в себя защиту мобильных устройств, а также обеспечивать контроль приложений, чтобы оградить корпоративное устройство от установки нелегитимных приложений, и защиту от рутования, чтобы блокировать рутованные устройства или удалять хранящиеся на них корпоративные данные;
  • внедрить решение корпоративного уровня, которое детектирует сложные угрозы на сетевом уровне на ранней стадии, такое как Kaspersky Anti Targeted Attack.