Vietnámi állami hekkerekhez köthető kártevő programokat találtak az androidos Play Store alkalmazásboltban a Kaspersky Lab kutatói. A kártékony kódot tartalmazó alkalmazásokat legalább két alkalommal sikerült rejtve tartani az Androidot fejlesztő Google előtt – írja a Wired.
Az orosz Kaspersky kutatói a PhantomLance nevet adták a most leleplezett kiberkémkedési kampánynak, amelyben vietnámi, bangladesi, indonéz és indiai felhasználókat támadtak. Az alkalmazásboltban olykor felbukkanó kártevő appokkal szemben azonban ezek a támadások sokkal célzottabbak voltak, mindössze néhány száz felhasználó került a hekkerek célkeresztjébe (legalábbis a Kaspersky szoftvereit használók közül). A kiszemelteknek emailben küldték ki a kártékony appok linkjét, a Play Store-t itt arra használták, hogy a hitelesnek tartott forrás segítségével eloszlassák a gyanút.
A kampány mögött a kutatóknak sikerült azonosítani az OceanLotus vagy APT32 néven ismert, legalább 2013 óta aktív hekkercsoportot, amelyet korábban több biztonsági cég is a vietnámi kormányhoz kötött, például vietnámi disszidensek, illetve a kínai kormány elleni akciók esetében. A Kaspersky kutatói szerint a PhantomLance célja egyszerre volt az ország szomszédai, illetve egyes hazai felhasználók utáni kémkedés. A Google minden frissen azonosított kémprogramot eltávolított.
Nem minden előzmény nélküli a PhantomLance felfedezése. Tavaly júliusban a szintén orosz Dr. Web kutatói találtak először az OceanLotushoz köthető kártékony kódot a Play Store-ban, majd szintén tavaly a Kaspersky is azonosított egy hasonló kártevőt. Ezeknek a kémkedési potenciálja elég korlátozott volt, de a kutatók szerint ez további kártékony csomagok letöltésével könnyedén bővíthető lett volna. Ezután a Google mindkét appot törölte. Ezután a Kaspersky egészen 2015-ig visszamenőleg találta meg az alkalmazásboltban a csoporthoz köthető több tucat app nyomait, bár magukat az alkalmazásokat a Google addigra már eltávolította. Ezek a korábbi appok azt a stratégiát követték, hogy a telepítéskor még tiszták voltak, csak utána töltötték le a megfertőzött készülékekre a kémkedéshez használt kártékony kódot.
Nem a vietnámi állami hekkerek az elsők, akikről kiderül, hogy az androidos alkalmazásboltban próbálják elrejteni a kártevőiket. Tavaly egy hekkercégről derült ki, hogy az olasz kormánynak fejlesztett kémeszközöket juttatott be. Szintén tavaly maga a Google leplezte le, hogy az orosz kormányhoz köthető Sandworm még 2017-ben ukrán és dél-koreai célpontokat célzó kártevőket csempészett a Play Store-ba. A dél-koreaiak elleni akció feltehetően a 2018-as phjongcshangi téli olimpia meghekkeléséhez köthető.
A PhantomLance esete azért különösen aggasztó, mert mint kiderült, még azután is maradt – legalább – két azonosítatlan kémprogram az alkalmazásboltban, hogy a Google már több körben eltávolította az OceanLotushoz köthető appokat. Kurt Baumgartner, a Kaspersky kutatója szerint ez azt mutatja, hogy megrendült a bizalom a Google – és pláne az Apple – stratégiájában, amely szerint az alkalmazásbolt zárt kezelésével lehet a leghatékonyabban megőrizni a biztonságát.
(Borítókép Shutterstock)