{"id":25380,"date":"2020-05-05T18:36:06","date_gmt":"2020-05-05T16:36:06","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=25380"},"modified":"2020-05-05T18:36:06","modified_gmt":"2020-05-05T16:36:06","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/phantomlance-android-backdoor-trojan\/25380\/","title":{"rendered":"PhantomLance Android-achterdeur ontdekt op Google Play"},"content":{"rendered":"

Onze collega\u2019s bij Doctor Web detecteerden<\/a> in juli vorig jaar een trojan-achterdeur<\/a> op Google Play. Zulke ontdekkingen vinden niet elke dag plaats, maar het is ook niet uniek: onderzoekers vinden trojans op Google Play, en soms wel honderden tegelijk.<\/p>\n

Deze trojan was echter verrassend geavanceerd voor malware die normaal gesproken op Google Play wordt aangetroffen, dus onze experts besloten wat dieper te graven. Ze voerden hun eigen onderzoek uit<\/a> en ontdekten dat de malware deel uitmaakt van een schadelijke campagne (die we PhantomLance hebben gedoopt) die al sinds eind 2015 actief is.<\/p>\n

Wat PhantomLance kan doen<\/h2>\n

Onze experts ontdekten verschillende versies van PhantomLance. Ondanks de toenemende complexiteit en de verschillende tijden waarop ze opdoken, zijn ze redelijk vergelijkbaar op het gebied van hun mogelijkheden.<\/p>\n

Het belangrijkste doel van PhantomLance is om vertrouwelijke informatie van het gebruikersapparaat te verzamelen. Dankzij de malware kunnen de boosdoeners locatiegegevens, belgegevens, sms-berichten, lijsten met ge\u00efnstalleerde apps en volledige informatie over de ge\u00efnfecteerde smartphone in handen krijgen. Bovendien kan de functionaliteit op elk moment uitgebreid worden door aanvullende modules van de C&C-server te laden.<\/p>\n

Verspreiding van PhantomLance<\/h2>\n

Google Play vormt het belangrijkste distributieplatform voor de malware. Het is ook aangetroffen in gegevensbanken van derden, maar dan gaat het grotendeels om mirrors van de offici\u00eble Google-appwinkel.<\/p>\n

We kunnen met zekerheid stellen dat de apps die ge\u00efnfecteerd zijn met een versie van de trojan in de zomer van 2018 in de app storen begonnen te verschijnen. De malware werd gevonden in tools voor het wijzigen van lettertypes, het verwijderen van ads, het opschonen van systemen, enzovoorts.<\/p>\n

\"\"

Een app op Google Play die de PhantomLance-achterdeur bevatte<\/p><\/div>\n

Apps die PhantomLance bevatten zijn sindsdien uiteraard allemaal van Google Play verwijderd, maar er bestaan nog altijd kopie\u00ebn in mirrors. Ironisch genoeg beweren sommige van de gegevensbanken voor mirrors dat het installatiebestand rechtstreeks van Google Play is gedownload en dat het daarom dus zogenaamd geen virussen bevat.<\/p>\n

Hoe kregen de cybercriminelen hun speeltje in de offici\u00eble Google Store? Ten eerste cre\u00eberden de aanvallers voor extra authenticiteit een profiel van elke ontwikkelaar op GitHub. Deze profielen bevatten alleen een soort licentieovereenkomst. Desalniettemin geeft het hebben van een profiel op GitHub ontwikkelaars blijkbaar een soort aanzien.<\/p>\n

Ten tweede waren de apps die de makers van PhantomLance in eerste instantie naar Google Play uploadden niet schadelijk. De eerste versies van de programma\u2019s bevatten geen verdachte features, en daardoor kwamen ze zonder enige problemen door de controles van Google Play heen. Pas later werden de apps via updates van schadelijke features voorzien.<\/p>\n

Doelwitten van PhantomLance<\/h2>\n

Op basis van de geografische verspreiding en de aanwezigheid van Vietnamese versies van schadelijke apps in online stores, geloven we dat de belangrijkste doelwitten van de PhantomLance-makers gebruikers in Vietnam waren.<\/p>\n

Bovendien ontdekten onze deskundigen een aantal kenmerken die PhantomLance aan de OceanLotus-groep linkten, een groep die verantwoordelijk is voor het cre\u00ebren van verschillende soorten malware die ook op gebruikers uit Vietnam is gericht.<\/p>\n

De reeks van malware-tools van OceanLotus die eerder al is geanalyseerd omvat een familie aan macOS-achterdeuren, een familie van Windows-achterdeuren en een aantal Android-trojans, waarvan er tussen 2014 en 2017 activiteit werd gedetecteerd. Onze experts kwamen tot de conclusie dat het PhantomLance lukte om de bovengenoemde Android-trojans sinds 2016 te gebruiken.<\/p>\n

\"\"

PhantomLance is gelinkt aan andere OceanLotus-malware<\/p><\/div>\n

Hoe beschermt u zich tegen PhantomLance<\/h2>\n

Een van de tips die we regelmatig herhalen in posts over Android-malware is \u201cinstalleer alleen apps van Google Play\u201d. Maar PhantomLance toont opnieuw aan dat malware soms zelfs de internetreuzen voor de gek kan houden.<\/p>\n

Google doet erg veel moeite om zijn app-winkel schoon te houden (anders zouden we daar veel vaker te maken hebben met verdachte software), maar de mogelijkheden van het bedrijf zijn niet onbeperkt, en aanvallers zijn vindingrijk. Daardoor wil alleen het feit dat een app op Google Play staat nog niet meteen zeggen dat die ook veilig is. Houd altijd rekening met de volgende factoren:<\/p>\n