{"id":15150,"date":"2020-05-07T18:09:11","date_gmt":"2020-05-07T21:09:11","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=15150"},"modified":"2020-05-07T18:40:07","modified_gmt":"2020-05-07T21:40:07","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/phantomlance-android-backdoor-trojan\/15150\/","title":{"rendered":"PhantomLance: backdoor para Android descoberta na Google Play"},"content":{"rendered":"

Em julho do ano passado, nossos colegas da empresa Doctor Web detectaram<\/a> um Trojan<\/a> de backdoor na Google Play. Essas descobertas n\u00e3o acontecem todo dia, mas n\u00e3o quer dizer que sejam raras \u2013 os pesquisadores encontram Trojans na Google Play<\/a>, \u00e0s vezes centenas de uma vez.<\/p>\n

Esse Trojan, no entanto, era surpreendentemente sofisticado. Ent\u00e3o nossos especialistas decidiram se aprofundar. Eles conduziram uma investiga\u00e7\u00e3o pr\u00f3pria<\/a> e descobriram que o malware faz parte de uma campanha maliciosa (chamamos de PhantomLance) em andamento desde o final de 2015.<\/p>\n

O que o PhantomLance pode fazer<\/h2>\n

Nossos especialistas detectaram v\u00e1rias vers\u00f5es do PhantomLance. Apesar da crescente complexidade e das diferen\u00e7as no tempo de surgimento, s\u00e3o muito semelhantes em termos de funcionalidades.<\/p>\n

O principal objetivo do PhantomLance \u00e9 coletar informa\u00e7\u00f5es confidenciais. O malware fornece aos seus manipuladores dados de localiza\u00e7\u00e3o, registros de chamadas, mensagens de texto, listas de aplicativos instalados e informa\u00e7\u00f5es completas sobre o smartphone infectado. Al\u00e9m disso, sua funcionalidade pode ser expandida a qualquer momento simplesmente carregando m\u00f3dulos adicionais do servidor de comando e controle.<\/p>\n

Distribui\u00e7\u00e3o do PhantomLance<\/h2>\n

A Google Play \u00e9 a principal plataforma de distribui\u00e7\u00e3o do malware. Ele tamb\u00e9m j\u00e1 foi encontrado em reposit\u00f3rios de terceiros, mas na maioria das vezes s\u00e3o apenas lojas de aplicativos espelhadas na oficial da Google.<\/p>\n

Podemos dizer com certeza que os aplicativos infectados com uma vers\u00e3o do Trojan come\u00e7aram a aparecer na loja virtual durante o ver\u00e3o de 2018. O malware foi encontrado escondido em utilit\u00e1rios para alterar fontes, remover an\u00fancios, limpeza do sistema etc.<\/p>\n

\"App

App na Google Play contendo a backdoor PhantomLance<\/p><\/div>\n

Os aplicativos que cont\u00eam o PhantomLance foram removidos do Google Play, mas ainda \u00e9 poss\u00edvel encontrar c\u00f3pias em outros sites. Ironicamente, alguns desses reposit\u00f3rios de terceiros afirmam que o pacote de instala\u00e7\u00e3o foi baixado diretamente do Google Play e, portanto, \u00e9 livre de v\u00edrus.<\/p>\n

Como os cibercriminosos conseguiram infiltrar seus c\u00f3digos maliciosos na loja oficial do Google? Primeiro, para maior autenticidade, criaram um perfil para cada desenvolvedor no GitHub. Esses perfis continham apenas algum tipo de contrato de licen\u00e7a. No entanto, ter um perfil no GitHub aparentemente fornece alguma credibilidade aos desenvolvedores.<\/p>\n

Em segundo, os aplicativos que os criadores do PhantomLance enviaram inicialmente para a loja n\u00e3o eram maliciosos. As primeiras vers\u00f5es dos programas n\u00e3o continham recursos suspeitos e, portanto, passaram pela checagem da Google Play. Apenas algum tempo depois, por meio de atualiza\u00e7\u00f5es, recursos maliciosos foram adicionados.<\/p>\n

Objetivos do PhantomLance<\/h2>\n

A julgar pela geografia de sua dissemina\u00e7\u00e3o, bem como pela presen\u00e7a de vers\u00f5es vietnamitas de aplicativos maliciosos em lojas online, acreditamos que os principais alvos dos criadores do PhantomLance eram usu\u00e1rios do Vietn\u00e3.<\/p>\n

Al\u00e9m disso, nossos especialistas detectaram v\u00e1rias caracter\u00edsticas que vinculam o PhantomLance ao grupo OceanLotus, respons\u00e1vel pela cria\u00e7\u00e3o de uma variedade de malwares tamb\u00e9m direcionados a usu\u00e1rios do Vietn\u00e3.<\/p>\n

O conjunto de ferramentas de malware OceanLotus analisadas anteriormente inclui uma fam\u00edlia de backdoors do macOS, uma fam\u00edlia de backdoors do Windows e um conjunto de Trojans para Android, cuja atividade foi identificada entre 2014 e 2017. Nossos especialistas chegaram \u00e0 conclus\u00e3o de que o PhantomLance tiveram sucesso com os Trojans Android acima mencionados a partir de 2016.<\/p>\n

\"PhantomLance

PhantomLance est\u00e1 ligado a outros malwares do OceanLotus<\/p><\/div>\n

\u00a0<\/p>\n

Como se proteger contra o PhantomLance<\/h2>\n

Uma das dicas que costumamos repetir nas postagens sobre malware em Android<\/a> \u00e9 \u201cInstalar aplicativos apenas a partir da Google Play\u201d. Mas o PhantomLance demonstra mais uma vez que malware \u00e0s vezes pode enganar at\u00e9 os gigantes da Internet.<\/p>\n

A Google esfor\u00e7a-se ao m\u00e1ximo para manter sua loja de aplicativos limpa (caso contr\u00e1rio, encontrar\u00edamos softwares suspeito com maior frequ\u00eancia), mas os recursos da empresa n\u00e3o s\u00e3o ilimitados e os invasores s\u00e3o criativos. Portanto, o simples fato de um aplicativo estar na Google Play n\u00e3o garante sua seguran\u00e7a. Sempre considere outros fatores:<\/p>\n