{"id":21554,"date":"2020-05-06T11:38:48","date_gmt":"2020-05-06T09:38:48","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=21554"},"modified":"2020-05-06T12:02:36","modified_gmt":"2020-05-06T10:02:36","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/phantomlance-android-backdoor-trojan\/21554\/","title":{"rendered":"PhantomLance: un Trojan su Google Play"},"content":{"rendered":"

Lo scorso luglio, i nostri colleghi di Doctor Web hanno rilevato<\/a> un \u00a0Trojan backdoor<\/a> su Google Play. Queste scoperte non sono esattamente cosa di tutti i giorni, ma non sono nemmeno cos\u00ec rare, i ricercatori possono rilevare dei Trojan<\/a> su Google Play\u00a0<\/a><\/strong> e spesso centinaia tutti in una volta.<\/p>\n

Questo backdoor, tuttavia, era sorprendentemente sofisticata rispetto ai malware<\/strong> che si \u00e8 soliti trovare su Google Play, cos\u00ec i nostri esperti hanno deciso di scavare pi\u00f9 a fondo. Hanno condotto una loro indagine<\/a> e hanno scoperto che il malware <\/strong>fa parte di una campagna dannosa <\/strong>(che abbiamo denominato PhantomLance<\/strong>), in corso dalla fine del 2015.<\/p>\n

Cosa pu\u00f2 fare PhantomLance<\/h2>\n

I nostri esperti hanno rilevato diverse versioni di PhantomLance<\/strong>. Nonostante la sua crescente complessit\u00e0 e le differenze nel tempo di apparizione, sono abbastanza simili in termini di funzionalit\u00e0.<\/p>\n

L\u2019obiettivo principale del Trojan PhantomLance<\/strong> \u00e8 quello di raccogliere informazioni riservate<\/strong><\/a> dal dispositivo della vittima. Il malware<\/strong> \u00e8 in grado di fornire ai suoi creatori dati di localizzazione, registro delle chiamate, messaggi di testo, elenchi di applicazioni installate e informazioni complete sullo smartphone infetto<\/a><\/strong>. Inoltre, le sue funzionalit\u00e0 possono essere ampliate in qualsiasi momento semplicemente caricando moduli aggiuntivi dal server C&C<\/strong>.<\/p>\n

Diffusione di PhantomLance<\/h2>\n

Google Play \u00e8 la principale piattaforma di distribuzione del malware<\/strong>. \u00c8 stato trovato anche in repository di terze parti, ma per la maggior parte delle volte si tratta per lo pi\u00f9 di copie dell\u2019app store ufficiale di Google<\/strong><\/a>.<\/p>\n

Possiamo dire con certezza che le prime app infettate<\/strong> da una versione del Trojan <\/strong>sono comparse nello store nell\u2019estate del 2018. Il malware \u00e8 stato trovato nascosto in utility per la modifica di font,<\/strong> per la rimozione di annunci, per la pulizia del sistema e cos\u00ec via.<\/p>\n

\"\"

Un\u2019app su Google Play che si \u00e8 scoperto contenere la backdoor PhantomLance.<\/p><\/div>\n

Le applicazioni contenenti PhantomLance<\/strong> sono state tutte rimosse da Google Play, naturalmente, ma si possono ancora trovare delle copie in repository mirror. Ironia della sorte, alcuni di questi repository mirror affermano che il pacchetto di installazione di PhantomLance sia stato scaricato direttamente da Google Play, rassicurando l\u2019utente circa l\u2019assenza di virus.<\/p>\n

Come hanno fatto i cybercriminali a introdurre di nascosto il loro Trojan <\/strong>nello store ufficiale di Google<\/strong>? In primo luogo, per una maggiore autenticit\u00e0, i cybercriminali hanno creato un profilo di ogni sviluppatore su GitHub<\/a><\/strong>. Questi profili contenevano\u00a0 semplicemente una specie di contratto di licenza. Tuttavia, avere un profilo su GitHub<\/strong> apparentemente conferisce agli sviluppatori una certa rispettabilit\u00e0.<\/p>\n

In secondo luogo, le app che i creatori di PhantomLance<\/strong> hanno inizialmente caricato nello store non erano dannose<\/strong>. Le prime versioni dei programmi non contenevano alcuna caratteristica sospetta, e quindi hanno superato i controlli di Google Play <\/strong>a pieni voti. Solo qualche tempo dopo, con gli aggiornamenti<\/strong>, le app hanno acquisito caratteristiche dannose, come la <\/strong>capacit\u00e0 di rubare dati<\/strong>.<\/a><\/p>\n

Gli obiettivi di PhantomLance<\/h2>\n

A giudicare dalla geografia della sua diffusione, cos\u00ec come dalla presenza di versioni vietnamite delle applicazioni dannose<\/strong> negli store online<\/strong>, riteniamo che i principali obiettivi dei creatori di PhantomLance<\/strong> fossero gli utenti provenienti dal Vietnam.<\/p>\n

Inoltre, i nostri esperti hanno rilevato una serie di caratteristiche che collegano PhantomLance<\/strong> con il gruppo OceanLotus<\/strong>,\u00a0 responsabile della creazione di una gamma di malware rivolta anch\u2019essa agli utenti del Vietnam.<\/p>\n

Il set di strumenti malware OceanLotus<\/strong> precedentemente analizzato comprende una famiglia di backdoor macOS<\/strong>, una famiglia di backdoor Windows<\/a><\/strong> e un set di Trojan Android<\/strong>, la cui attivit\u00e0 \u00e8 stata individuata nel periodo 2014-2017. I nostri esperti sono giunti alla conclusione che PhantomLance sia subentrata ai suddetti Trojan Android<\/strong><\/a> a partire dal 2016.<\/p>\n

\"\"

PhantomLance \u00e8 vincolato ad altre armi malware di \u00a0OceanLotus.<\/p><\/div>\n

Come proteggersi da PhantomLance<\/h2>\n

Uno dei consigli che ripetiamo spesso nei post sul malware per Android<\/strong> \u00e8: \u201cinstallate le applicazioni solo da Google Play\u201d. Tuttavia, PhantomLance<\/strong> dimostra ancora una volta che il malware pu\u00f2 talvolta ingannare anche i giganti di Internet.<\/p>\n

Google si impegna molto per mantenere il suo app store sicuro e libero da malware<\/strong> (altrimenti ci imbatteremmo molto pi\u00f9 spesso in software dannosi <\/strong>o sospetti), ma le capacit\u00e0 dell\u2019azienda non sono infinite e gli hacker hanno molta inventiva. Pertanto, il semplice fatto che un\u2019app sia su Google Play non \u00e8 garanzia di sicurezza. Considerate sempre altri fattori per non essere vittime di Trojan su Android:<\/p>\n