Izvor: Objava, 28.Apr.2020, 17:17

PhantomLance - aktuelna sofisticirana špijunažna kampanja koja targetira korisnike Android uređaja iz Jugoistočne Azije

Istraživači kompanije Kaspersky otkrili su sofisticiranu malicioznu kampanju koja targetira korisnike Android uređaja, i koja sa umerenom sigurnošću može biti pripisana OceanLotus-u akteru naprednih upornih pretnji. Kampanja je nazvana PhantomLance, aktivna je bar od 2015. godine i još uvek traje, uključuje mnogobrojne verzije složenog softvera za špijunažu – softvera kreiranog da prikupi podatke žrtava – i pametnih distributivnih taktika, uključujući distribuciju putem desetina aplikacija sa zvanične Googe Play prodavnice.
Istraživači bezbednosti treće strane u julu 2019. godine prijavili su da je na Google Play-u pronađen novi uzorak softvera za špijunažu. Ovaj izveštaj je privukao pažnju kompanije Kaspersky usled neočekivanih karakteristika softvera – nivoa sofisticiranosti i ponašanja koje se veoma razlikuje od uobičajenih Trojanaca najčešće otpremljenih na zvanične prodavnice za aplikacije. Istraživači kompanije Kaspersky uspeli su da pronađu još jedan veoma sličan uzorak ovog malvera na Google Play-u. Ukoliko kreatori malvera uspeju da otpreme malicioznu aplikaciju na legitimnu prodavnicu aplikacija, oni uglavnom ulažu znatne resurse u promovisanje aplikacije kako bi povećali broj instaliranja i samim tim i broj žrtvi. Ovo nije bio slučaj sa ovim novootkrivenim malicioznim aplikacijama. Izgledalo je kao da akteri koji stoje iza njih nisu zainteresovani za njihovo masovno širenje. Za istraživače, ovo je ukazivalo na to da je reč o targetiranoj APT aktivnosti. Dodatno istraživanje omogućilo je otkrivanje nekoliko verzija ovog malvera sa desetinama uzoraka, povezanih mnogobrojnim sličnostima u kodu.
Funkcionalnost svih uzoraka je bila slična – glavna svrha softvera za špijunažu je bila prikupljanje informacija. Mada osnovna funkcionalnost nije bila preterano širokog opsega, i uključivala je geolokaciju, evidencije poziva, pristup kontaktima i SMS porukama, aplikacija je takođe mogla da prikupi spisak instaliranih aplikacija, kao i informacije o uređaju, poput modela i verzije operativnog sistema. Osim toga, akter pretnji je bio u mogućnosti da preuzme i sprovede razne maliciozne korisne terete, i na taj način, prilagodi koristan teret koji bi bio pogodan određenom okruženju uređaja, kao što su Android verzija ili instalirane aplikacije. Na ovaj način akter je mogao da izbegne preopterećenje aplikacije nepotrebnim funkcionalnostima i da u isto vreme prikupi potrebne informacije.
Dalje istraživanje ukazalo je na to da je kampanja PhantomLance najviše podrazumevala distribuciju na različitim platformama i prodavnicama, uključujući tu, ali ne isključivo, Google Play i APKpure. Kako bi aplikacije izgledale legitimno, u skoro svim slučajevima raspoređivanja malvera akteri pretnji su pokušali da izgrade lažni profil programera putem kreiranja povezanog Github naloga. Kako bi izbegli mehanizme filtriranja koje prodavnice primenjuju, prve verzije aplikacije koje su akteri pretnji otpremili nisu sadržale maliciozni korisni teret. Ipak, kroz kasnija ažuriranja, aplikacije su primile i maliciozni korisni teret i kod za ispuštanje i sprovođenje ovih korisnih tereta.
Prema podacima Kaspersky Security Network mreže, od 2016. godine, oko 300 pokušaja zaraze su primećeni na Android uređajima u zemljama kao što su Indija, Vijetnam, Bangladeš i Indonezija. Mada su statistički podaci o otkrivanju uključivali kolateralne zaraze, Vijetnam se isticao kao jedna od zemalja sa najvećim brojem pokušanih napada; takođe, neke maliciozne aplikacije korišćene u kampanji napravljene su isključivo na vijetnamskom jeziku.
Koristeći Kaspersky mehanizam za atribuciju malvera – interni alat kojim se pronalaze sličnosti između različitih delova malicioznog koda – istraživači su uspeli da zaključe da su PhantomLance korisni tereti najmanje 20% slični onima iz jedne od starijih Android kampanja povezanih sa akterom OceanLotus koji je aktivan barem od 2013. godine i čije mete su pretežno locirane u Jugoistočnoj Aziji. Osim toga, nekoliko značajnih preklapanja je pronađeno sa prethodno prijavljenim aktivnostima aktera OceanLotus na Windows i Mac operativnim sistemima. Stoga, istraživači kompanije Kaspersky veruju da se PhantomLance kampanja sa umerenom sigurnošću može dovesti u vezu sa akterom OceanLotus.
Kompanija Kaspersky je vlasnike legitimnih prodavnica aplikacija obavestila o svim otkrivenim uzorcima. Google Play je potvrdio da su uklonili te aplikacije.
“Ova kampanja je idealan primer za to kako akteri naprednih pretnji zalaze sve dublje i dublje i kako postaje sve teže pronaći ih. PhantomLance postoji već više od pet godina i akteri pretnji su uspeli da zaobiđu filtere prodavnica aplikacija nekoliko puta, koristeći napredne tehnike kako bi postigli svoje ciljeve. Takođe možemo primetiti da korišćenje mobilnih platformi kao primarnih tački zaraze postaje sve popularnije, sa sve više i više aktera koji napreduju u ovoj oblasti. Ovakav razvoj situacije potvrđuje značaj koji imaju konstantan razvoj informacija o pretnjama i prateće usluge, koje mogu pomoći u praćenju aktera pretnji i pronalaženju preklapanja između različitih kampanja,” komentariše Aleksej Firš (Alexey Firsh), istraživač bezbednosti GReAT tima kompanije Kaspersky.
Izveštaj o PhantomLance kampanji je u celostu dostupan na Securelist.
Kako ne biste postali žrtva targetiranih napada na organizacije ili pojednce, kompanija Kaspersky preporučuje sledeće:
Za potrošače:

● Koristite pouzdano bezbednosno rešenje, kao što je Kaspersky Security Cloud, za sveobuhvatnu zaštitu od širokog opsega pretnji. Rešenje uključuje Kaspersky Secure Connection što sprečava praćenje vaših aktivnosti na internetu, krije vašu IP adresu i lokaciju, i prenosi vaše podatke kroz bezbedan VPN tunel.

Za preduzeća:

● Vodite računa da je vaše endpoint bezbednosno rešenje ojačano zaštitom za mobilne uređaje, kao što je Kaspersky Security for Mobile. To bi trebalo omogućiti kontrolu aplikacija kako bi se obezbedilo da samo legitimne aplikacije mogu biti instalirane na korporativnom uređaju, kao i rooting zaštitu koja omogućuje blokiranje rooted uređaja ili uklanjanje korporativnih podataka koji su skladišteni na njima.
● Obezbedite vašem timu bezbednosnog operativnog centra pristup najnovijim informacijama o pretnjama, i budite u toku sa novim i tek otkrivenim alatima, tehnikama i taktikama koje akteri pretnji i sajber kriminalci koriste.
● Za otkrivanje na nivou krajnje tačke, istraživanje i blagovremeno saniranje incidenata, implementirajte EDR rešenja, kao što je Kaspersky Endpoint Detection and Response.
● Pored usvajanja neophodne endpoint zaštite, implementirajte bezbednosno rešenje na korporativnom nivou, kao što je Kaspersky Anti Targeted Attack Platform.
Pogledaj vesti o: Kaspersky