MIALNO – I ricercatori di Kaspersky hanno rilevato una sofisticata campagna malevola rivolta agli utenti di dispositivi Android che quasi certamente può essere attribuita a OceanLotus, un gruppo criminale APT. Denominata PhantomLance, la campagna è attiva almeno dal 2015 e si presenta con diverse versioni di uno spyware complesso, ovvero un software creato per raccogliere i dati delle vittime, e tattiche di distribuzione intelligenti, compresa la distribuzione attraverso decine di applicazioni presenti sul market ufficiale di Google Play.
Nel luglio 2019, i ricercatori di sicurezza di terze parti hanno segnalato un nuovo campione di spyware trovato su Google Play. Il report ha attirato l’attenzione di Kaspersky per le sue caratteristiche insolite. Il livello di sofisticazione e il modus operandi è molto diverso dai comuni trojan solitamente caricati negli app store ufficiali. I ricercatori di Kaspersky sono riusciti a trovare un altro sample molto simile di questo malware su Google Play. In genere, quando i creatori di malware riescono a caricare un’applicazione dannosa su un app store legittimo, investono notevoli risorse nella promozione dell’applicazione per consentire il maggior numero di installazioni e di vittime. In questo caso non è avvenuto quasi come se i threat actor non fossero interessati alla diffusione di massa. Questo indizio ha portato i ricercatori a pensare che si trattasse di un’attività APT (Advanced Persistent Threat) mirata. Ulteriori ricerche hanno consentito di scoprire diverse versioni di questo malware con decine di sample collegati tra loro da molteplici somiglianze di codice.
Il modus operandi dei sample era piuttosto simile: lo scopo principale dello spyware era la raccolta di informazioni. Anche se le funzionalità di base non erano molto ampie e comprendevano la geolocalizzazione, i registri delle chiamate, l’accesso ai contatti e l’accesso agli SMS, l’applicazione poteva raccogliere l’elenco delle applicazioni installate e le informazioni sul dispositivo, dal modello alla versione del sistema operativo. Inoltre, i threat actor erano in grado di scaricare ed eseguire vari payload dannosi, e quindi, adattare il payload più adatto all’ambiente specifico del dispositivo, come la versione Android e le applicazioni installate. In questo modo i criminali sono stati in grado di evitare di sovraccaricare l’applicazione con funzioni non essenziali e allo stesso tempo di raccogliere le informazioni necessarie.
Ulteriori ricerche hanno indicato che PhantomLance è stato distribuito principalmente su varie piattaforme e marketplace, tra cui, Google Play e APKpure. Per dare l’impressione che le applicazioni fossero legittime, in quasi tutti i casi di diffusione di malware, i threat actor hanno cercato di costruire il falso profilo di uno sviluppatore creando un account Github associato. Al fine di eludere i meccanismi di filtraggio utilizzati dai marketplace, le prime versioni dell’applicazione caricate dai criminali sui marketplace, non contenevano payload dannosi. In seguito, con gli aggiornamenti successivi, le applicazioni hanno ricevuto sia payload dannosi che un codice per eliminare ed eseguire questi payload.
Secondo quanto rilevato da Kaspersky Security Network, dal 2016 sono stati osservati circa 300 tentativi di infezione su dispositivi Android in Paesi come India, Vietnam, Bangladesh e Indonesia. Mentre le statistiche di rilevamento comprendevano le infezioni collaterali, il Vietnam si è distinto come uno dei principali Paesi per numero di tentativi di attacco infatti, alcune applicazioni dannose utilizzate nella campagna, sono state realizzate esclusivamente in lingua vietnamita.
Utilizzando il Kaspersky Attribution Engine – uno strumento interno per trovare similarità tra diversi pezzi di codice malevolo – i ricercatori sono stati in grado di determinare che i payload di PhantomLance erano simili per il 20% a quelli di una delle vecchie campagne Android associate a OceanLotus, un threat actor attivo almeno dal 2013 e i cui obiettivi si trovano per lo più nel Sud Est asiatico. Inoltre, sono state riscontrate diverse importanti sovrapposizioni con le attività precedentemente segnalate di OceanLotus su Windows e MacOS. Per questi motivi, i ricercatori di Kaspersky sono quasi certi che la campagna PhantomLance sia legata a OceanLotus.
Kaspersky ha segnalato tutti i sample scoperti ai proprietari delle app legittime. Google Play ha confermato di aver eliminato le applicazioni.
“Questa campagna è un esempio eccezionale di come gruppi criminali avanzati si stanno spostando in acque sempre più profonde diventando più difficili da individuare. PhantomLance è attiva da oltre cinque anni e i threat actor sono riusciti a bypassare più volte i filtri degli app store utilizzando tecniche avanzate per raggiungere i loro obiettivi. Un altro aspetto che vale la pena evidenziare è l’uso delle piattaforme mobili come punto di infezione primario. Questo obiettivo sta diventando sempre più popolare e il numero di criminali che avanzano in questo settore è sempre più alto. Questi sviluppi sottolineano l’importanza di un continuo miglioramento della threat intelligence e dei servizi di supporto in grado di aiutare i ricercatori ad individuare i threat actor e a trovare le sovrapposizioni tra le varie campagne”, ha commentato Alexey Firsh, security researcher del GReAT di Kaspersky.
Il report completo della campagna PhantomLance è disponibile su Securelist.
Per evitare di cadere vittima di attacchi mirati contro organizzazioni o persone, Kaspersky raccomanda:
Per utenti privati:
● Utilizzare una soluzione di sicurezza affidabile, come Kaspersky Security Cloud, per una protezione completa da un’ampia gamma di minacce. La soluzione incorpora Kaspersky Secure Connection che impedisce il tracciamento delle attività online, nasconde l’indirizzo IP e la posizione e trasferisce i dati su un tunnel VPN sicuro.
Per aziende:
● Assicurarsi che la propria soluzione di sicurezza per endpoint sia dotata di protezione per i dispositivi mobili, come Kaspersky Security for Mobile. Questa soluzione consente il controllo delle applicazioni per garantire che solo quelle legittime vengano installate sui dispositivi aziendali, oltre a una protezione del rooting che permette di bloccare i dispositivi rooted o di rimuovere i dati aziendali memorizzati.
● Fornire al team del Security Operations Center (SOC) l’accesso alla threat intelligence più aggiornata e rimanere sempre informati su strumenti, tecniche e tattiche nuove ed emergenti utilizzate da threat actor e criminali informatici.
● Per il rilevamento a livello endpoint, l’indagine e la remediation tempestiva degli incidenti, implementare soluzioni EDR, come Kaspersky Endpoint Detection and Response
● Oltre ad adottare una protezione di base per endpoint, implementare una soluzione di sicurezza di livello aziendale in grado di rilevare tempestivamente le minacce avanzate a livello di rete, come la Kaspersky Anti Targeted Attack Platform.