这场被称为PhantomLance的间谍攻击行动至少从2015年就已经开始,目前仍在进行。该攻击行动使用了多个版本的复杂间谍软件(用于收集受害者数据的软件)和智能分发策略,包括在Google Play官方应用市场上通过数十个应用进行分发。
2019年7月,一位第三方安全研究人员报告在Google Play上发现一种新的间谍软件样本。这篇报告吸引了卡巴斯基的注意,因为其出乎意料的功能以及复杂程度和行为与通常上传到官方应用商店的普通木马有很大的区别。卡巴斯基的研究人员还在Google Play上找到了另一个与上述恶意软件非常相似的恶意软件样本。通常情况下,如果恶意软件制作者想办法将恶意应用上传到合法的应用商店时,他们会投入大量资源来推广该应用,以增加安装数量,从而提高受害者数量。这些新发现的恶意应用却并非如此。看起来他们背后的运营者对大规模传播似乎不感兴趣。对研究人员来说,这意味着针对性的APT攻击行为。进一步的研究让我们发现了这个恶意软件的多个版本,其中有数十个样本,都通过多个代码相似性将其联系在一起。
所有样本的功能都很相似——这些间谍软件的主要目的是收集信息。虽然基本功能不是很广泛,包括地理定位、通话记录、访问联系人和短信,但该应用程序还可以收集已安装的应用程序列表以及设备信息,如型号和操作系统版本。此外,攻击者还能够下载和执行各种恶意有效载荷,从而调整适合特定设备环境的有效载荷,如根据安卓版本和安装的应用程序进行调整。这样做,攻击者可以避免应用程序中出现不必要的功能过载,同时也能收集到所需的信息。
进一步研究显示,PhantomLance主要通过多个平台和市场进行分发,包括但不限于Google Play和APKpure。为了让应用看上去合法,在几乎每一个恶意软件部署案例中,攻击者几乎都试图通过创建一个相关的Github账户来建立一个虚假的开发者档案。为了逃避市场平台使用的过滤机制,攻击者上传到市场平台的应用程序的第一个版本不包含任何恶意有效载荷。但是,随着后续更新,应用程序会同时接收到恶意有效载荷和用于释放并执行这些有效载荷的代码。
根据卡巴斯基安全网络,从2016年开始,在印度、越南、孟加拉国和印度尼西亚等国家的安卓设备上发现约300次感染企图。尽管检测统计数据包括附带感染,但越南仍是遭到未遂攻击次数最多的国家之一;有些攻击行动中使用的恶意应用也仅使用越南语制作。
使用卡巴斯基的恶意软件溯源引擎(一个用来发现不同恶意代码相似性的内部工具),研究人员能够确定,PhantomLance的有效载荷与OceanLotus一次较早的安卓攻击活动中使用的有效载荷至少有20%的相似性。而OceanLotus至少从2013年就开始活跃,其攻击目标大多位于东南亚。此外,还发现OceanLotus之前报道的在Windows和MacOS上的活动与Phantomlance有几处重大的重叠。所以,卡巴斯基研究人员认为Phantomlance攻击行动可能与OceanLotus有关联,可信度为中等。
卡巴斯基已将所有发现的恶意样本上报给合法应用商店所有者。Google Play已经确认将相关应用下架。
“这次的攻击行动是一个突出的例子,说明高级威胁攻击者正在向更深层次发展,而且会更难被发现。PhantomLance已经持续行动超过五年,其攻击者想办法多次绕过了应用商店的过滤机制,使用高级手段实现他们的目的。我们还看到,使用移动平台作为主要的感染点越来越流行,越来越多的攻击者在这一领域取得了进展。这些发展凸显了持续改进威胁情报和支持服务的重要性,这些服务有助于追踪威胁攻击者,发现多个攻击行动的重叠性,”卡巴斯基全球研究和分析团队安全研究员Alexey Firsh评论说。
关于PhantomLance攻击行动的完整报告参见Securelist.
为了避免成为针对组织或个人的针对性攻击的受害者,卡巴斯基建议采取以下措施:
给消费者的建议:
- 使用可靠的安全解决方案,例如卡巴斯基安全云,因为这些解决方案能够全面抵御各种类型的威胁。该解决方案整合了卡巴斯基安全连接,可以阻止您的在线行为被追踪,还可以隐藏您的IP地址和位置,并通过安全的VPN通道传输您的数据。
给企业的建议:
- 确保您的端点安全解决方案具有移动设备的保护功能,如卡巴斯基移动设备安全。该解决方案可启用应用程序控制功能,以确保只有合法的应用程序可以安装在企业设备上,并提供rooting保护,允许阻止已经获得root权限的设备或删除存储在这些设备上的企业数据。
- 为您的安全运营中心(SOC)团队提供最新的威胁情报访问,让他们了解网络罪犯和威胁攻击者使用的最新工具、技巧和策略。
- 要实现端点级别的检测以及事故调查和及时修复,请部署EDR解决方案,例如卡巴斯基端点检测和响应。
- 除了部署基本的端点保护外,还要实施企业级的安全解决方案,在早期阶段就能检测到网络层面的高级威胁,例如卡巴斯基反针对性攻击平台。
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球270,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.
