PhantomLance - aktuelna sofisticirana špijunažna kampanja

Istraživači kompanije Kaspersky otkrili su sofisticiranu malicioznu kampanju koja targetira korisnike Android uređaja, i koja sa umerenom sigurnošću može biti pripisana OceanLotus-u akteru naprednih upornih pretnji. Kampanja je nazvana PhantomLance, aktivna je bar od 2015. godine i još uvek traje, uključuje mnogobrojne verzije složenog softvera za špijunažu – softvera kreiranog da prikupi podatke žrtava – i pametnih distributivnih taktika, uključujući distribuciju putem desetina aplikacija sa zvanične Googe Play prodavnice. Istraživači bezbednosti treće strane u julu 2019. godine prijavili su da je na Google Play-u pronađen novi uzorak softvera za špijunažu. Ovaj izveštaj je privukao pažnju kompanije Kaspersky usled neočekivanih karakteristika softvera – nivoa sofisticiranosti i ponašanja koje se veoma razlikuje od uobičajenih Trojanaca najčešće otpremljenih na zvanične prodavnice za aplikacije. Istraživači kompanije Kaspersky uspeli su da pronađu još jedan veoma sličan uzorak ovog malvera na Google Play-u. Ukoliko kreatori malvera uspeju da otpreme malicioznu aplikaciju na legitimnu prodavnicu aplikacija, oni uglavnom ulažu znatne resurse u promovisanje aplikacije kako bi povećali broj instaliranja i samim tim i broj žrtvi.

Ovo nije bio slučaj sa ovim novootkrivenim malicioznim aplikacijama. Izgledalo je kao da akteri koji stoje iza njih nisu zainteresovani za njihovo masovno širenje. Za istraživače, ovo je ukazivalo na to da je reč o targetiranoj APT aktivnosti. Dodatno istraživanje omogućilo je otkrivanje nekoliko verzija ovog malvera sa desetinama uzoraka, povezanih mnogobrojnim sličnostima u kodu.