卡巴斯基公司的安全研究员发现,和越南相关的黑客组织“海莲花”多年来一直攻击安卓用户。该网络间谍活动被称为 “PhantomLance”,至少活跃于2015年,它利用复杂的间谍软件收割受害者数据。该恶意软件出现多个版本,其中一些是通过 Google Play 中的恶意应用程序传播的。这款间谍软件最初由 Doctor Web 在Google Play 中于2019年7月发现,它具备的能力包括收集提取信息(通讯录、文本信息、通话历史、设备位置和所安装应用)、下载执行文件、上传问题、执行 shell 命令等。该间谍软件的复杂性和行为促使研究员开展调查,结果从 Google Play 上发现了另外一个非常类似的样本。和其它恶意软件作者不同,PhantomLance 的开发人员并未尝试以任何方式进行宣传,说明开发人员对大规模传播没有任何兴趣,这就表明它可能出自 APT 组织之手。研究人员还发现了该恶意软件的其它版本,很多都部署在 Google Play 中并已被删除。它们具有多个代码相似之处以及相同的功能:信息收集和payload 执行。该样本最近在2019年11月6日被发布在安卓官方市场上(谷歌已将其删除)。该恶意软件具有 payload 下载和执行能力,威胁行动者“能够避免应用程序具有不必要的功能并同时收集所必须信息”。PhantomLance 恶意软件主要通过应用市场进行传播,在多数情况下使用虚假的开发者资料(和 GitHub 账户相关联)。这些应用的初期版本被上传到无恶意代码的托管处,但随后更新同时交付恶意 payload和代码以释放并执行它们。虽然这些应用并未提到 manifest 文件中的可疑权限,但它们被动态请求并隐藏在 dex 可执行文件中。另外,如果 root 访问权限可用,则该恶意软件对未记录 API 函数进行 reflection 调用以获取所需权限。从2016年起,安全研究员共发现约300次感染尝试,攻击位于印度、越南、孟加拉国和印度尼西亚的安卓设备,尼泊尔、缅甸和马来西亚的设备也受影响。越南受到的攻击最多,其中一些恶意应用程序只使用了越南语。卡巴斯基发现,它和在2014年至2017年间攻击越南和中国安卓用户的老旧海莲花攻击活动的代码存在相似之处。 macOS 后门类似,基础设施和 Windows 后门存在重合之处,同时也存在跨平台相似之处。因此,研究人员认为“海莲花”是 PhantomLance 幕后黑手。事实上,他们认为 PhantomLance 是此前安卓恶意活动的继承者。海莲花也被称为 APT32 或 APT-C-00,它被指和越南政府相关且资源丰富、意志坚定。它主要攻击位于东南亚地区的企业和政府组织机构,近期被指攻击中国实体,试图窃取和新冠肺炎相关的信息。卡巴斯基全球研究分析团队 (GReAT) 指出,“该攻击活动出色地说明了高级威胁行动者进一步深入深水区并更难以被检测到。我们同时看到越来越多的黑客组织将移动平台看作主要的感染点。这些发展趋势说明了持续改进威胁情报和支持服务的重要性,它们有助于追踪威胁行动者并找到多种攻击活动之间的重合之处。”
https://www.securityweek.com/phantomlance-vietnamese-cyberspies-targeted-android-users-years
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~