Um grupo de hackers tem vindo a utilizar a Google Play Store para distribuir malware desde pelo menos 2016, passando despercebido a todas as analises da empresa. A empresa de segurança Kaspersky Labs revelou a descoberta de um novo malware que tinha vindo a esconder-se em várias aplicações para Android ao longo dos anos.
Apelidada de “PhantomLance”, o trojan é classificado pela empresa de segurança como uma variante bastante sofisticada de malware, sendo difícil de identificar e também de analisar. Uma vez instalado no sistema, este trojan pode recolher diversa informação pessoal dos utilizadores, incluindo dados de localização, números de telefone, mensagens, imagens e vários outros dados pessoais guardados no sistema, sendo os mesmos enviados para sistemas em controlo dos atacantes.
Além disso, o malware possui a capacidade de se expandir através de módulos, os quais podem ser enviados por servidores em controlo dos atacantes para aumentar as funcionalidades do trojan ao longo do tempo. Os investigadores referem que o código do malware encontrava-se fortemente encriptado, além de ser bastante difícil de identificar as suas atividades - o que também terá dificultado não apenas a deteção como analise do que realmente faria no sistema.
Os criadores das apps com o conteúdo malicioso conseguiram enganar os sistemas de segurança da Google ao lançarem versões “limpas” de apps aparentemente legitimas, sendo que apenas posteriormente era injetado o conteúdo malicioso nas mesmas. Esta medida, conjugada com a já difícil tarefa de identificar o malware, foi o suficiente para que durante vários anos as aplicações maliciosas estivessem disponíveis na loja da Google.
Além disso, os criminosos responsáveis por publicar estas aplicações criavam também falsos perfis no GitHub para ocultarem as suas atividades, fazendo-se passar como programadores legítimos. A grande maioria das apps infetadas referiam ser utilizadas para limpeza dos dispositivos ou analise de conteúdos maliciosos no mesmo.
Os principais alvos do malware “PhantomLance” aparentam ser utilizadores no Vietnam, mas as aplicações maliciosas descobertas terão sido descarregadas a nível mundial. O trojan foi referenciado como pertencente a um grupo de hackers conhecido como “OceanLotus”, o qual é também conhecido por desenvolver aplicações maliciosas para desktop – Windows e Linux.
Todas as apps descobertas com o malware foram entretanto removidas da Google Play Store, no entanto ainda se encontram disponíveis para instalação por lojas de terceiros na Internet, pelo que ainda se recomenda cuidado no download a partir de fontes desconhecidas.
Nenhum comentário
Seja o primeiro!