藏在Google Play市场里的安卓后门程序PhantomLance

卡巴斯基专家在Google Play上发现了名为PhantomLance的木马后门程序

去年七月，我们在Dr. Web的同事在Google Play检测到了木马后门程序。这种事情不会每天都发生，不过也谈不上闻所未闻，每隔一段时间就有可能在Google Play上发现木马，有的时候甚至能一次性找到上百个。

但这次所发现的木马和其他在Google Play上发现的绝大多数恶意软件不同，它要复杂得多。因此我们的专家决定深入挖掘它背后的故事。经过一番调查后，他们发现这个恶意软件不过是冰山一角，和它相关的恶意活动可以追溯到2015年末，我们将这个恶意活动称为PhantomLance。

我们的专家检测到PhantomLance有许多不同的版本。除了每次的伪装有所不同和复杂性随版本逐渐提升之外，各个版本在功能性上是非常近似的。

PhantomLance的主要目的是从受害者的设备中获取机密信息。为此，恶意软件先获取了设备的root权限（点击此处了解这一问题所在），随后它就能向其处理程序提供位置数据、通话记录、短信、已安装的应用程序以及关于这只设备的完整信息。除此之外，它还能随时通过C&C服务器加载额外模块扩展功能。

从调查来看，网络犯罪分子主要利用Google Play作为分发他们”智慧结晶”的平台。在其他第三方平台也能找到这个恶意软件，但多数情况下，它们都是Google官方应用商城的镜像。

我们可以肯定地说，从2018年夏天开始就有感染了某一个版本木马的程序出现在应用商城。我们在更改字体、移除广告、清理系统等常见的工具里都发现了它的身影。

Google Play上包含PhantomLance后门的一个应用程序

显然Google Play已经移除了含有PhantomLance的应用程序，但在镜像中依然存在一些副本。让人感到讽刺的是，有些镜像网站列出了安装包的来源，表示这些安装包是直接来自于Google Play，肯定没有病毒，因此用户可以安心使用。

这些网络犯罪分子到底是通过什么方法将它偷偷带进了谷歌应用市场的？首先，为了提升程序的真实性，攻击者在Github上创建了每个工具开发者的账号，尽管上面只有一些概要文件，列了一些许可协议，但在Github上有个账号会让开发者看起来更加真实。

其次，PhantomLance开发者最初上传的程序并不是恶意程序。它的第一个版本没有任何可疑功能，因此轻松通过了Google Play商店的检测。但过了一小段时间后，在下一次软件更新中，应用程序就变成了带有恶意功能的版本。

谁是PhantomLance的目标

根据其传播的地理特征，以及后续在商城中出现的越南语版本，我们可以判断PhantomLance开发者的首要目标是来自越南的用户。

除此之外，我们的专家还发现了PhantomLance和早前就发现的OcenLotus组织之间有一些相似的特征，这个组织制造了一系列针对越南用户的恶意软件。

之前我们分析过的OceanLotus恶意软件工具组里包括一系列macOS后门、Windows后门以及一组安卓木马，在2014年到2017年最为活跃。我们专家得出的结论是，上述的Android木马从2016年开始被PhantomLance取代。

PhantomLance与OceanLotus的其他恶意武器有关联

我们经常在和安卓恶意软件有关的文章中提到一点，”只从Google Play下载安装应用程序”。但PhantomLance这次证明了，恶意软件有时甚至能骗过互联网巨头。

谷歌煞费苦心地想要保持官方应用商城干净整洁（如果没有他们付出这么多努力，我们会遇到更多可疑的软件应用），但一家公司的能力总是有限的，你没有办法预测到所有攻击者的想法。因此，应用程序就算在Google Play上架也并不代表它就是安全的。下载应用程序时，你需要多考虑到一些其他的因素：

如果需要更多有关PhantomLance的技术详情，请查看我们专家在Securelist上发布的详细报告。

避开新手错误，用正确方式隐藏照片中的私人信息。