«Лаборатория Касперского»: PhantomLance заражал устройства в связке с приложениями из Google Play
Найденный в Google Play троян-бэкдор PhantomLance, который является частью начавшейся еще в конце 2015 года вредоносной кампании, имеет множество версий, нацеленных на сбор конфиденциальной информации с Android-устройства жертвы. Зловред передает своим хозяевам данные геолокации, журнал вызовов, SMS, список установленных приложений и полную информацию о смартфоне. При этом функциональность PhantomLance может быть в любой момент расширена благодаря загрузке дополнительных модулей с командного сервера.
Как отмечают эксперты «Лаборатории Касперского», злоумышленники использовали в качестве основной площадки для распространения своего творения Google Play. Зловред встречается и в сторонних каталогах, но в большинстве своем они являются лишь «зеркалами» официального магазина приложений Google, и скрывался в утилитах для смены шрифта, удаления рекламы, очистки системы и так далее. Разумеется, все они уже удалены из Google Play, но до сих пор их можно обнаружить на «зеркалах».
Судя по географии распространения PhantomLance, а также по наличию в магазинах специальных версий вредоносных приложений на вьетнамском языке, основной целью создателей PhantomLance были пользователи из Вьетнама, но география зловреда охватывает и другие страны от ЮАР до Ирана и Индонезии.
Эксперты рекомендуют при скачивании приложений из Google Play отдавать предпочтение приложениям проверенных разработчиков, обращать внимание на рейтинг программы и отзывы пользователей, а также внимательно изучать разрешения на доступ к информации и опасным функциям смартфона, которые запрашивает приложение. К примеру, погодному приложению, скорее всего, совсем ни к чему иметь доступ к контактам и сообщениям пользователя, а фильтру для фотографий — к местоположению пользователя. Следует проверять устанавливаемые приложения надежным защитным решением.
Больше технических подробностей о PhantomLance можно узнать из детального отчета экспертов на Securelist.