{"id":23925,"date":"2020-05-05T13:59:11","date_gmt":"2020-05-05T11:59:11","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=23925"},"modified":"2020-05-06T14:58:19","modified_gmt":"2020-05-06T12:58:19","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/phantomlance-android-backdoor-trojan\/23925\/","title":{"rendered":"Android-Backdoor „PhantomLance“ im Google Play Store entdeckt"},"content":{"rendered":"

Im Juli letzten Jahres haben unsere Kollegen von Doctor Web einen Backdoor-Trojaner<\/a> im Google Play Store entdeckt<\/a>. Obwohl solche Funde nicht gerade allt\u00e4glich sind, kommen sie h\u00e4ufiger vor als vielleicht angenommen \u2013 ja, Forscher finden Trojaner im Play Store, manchmal sogar hunderte gleichzeitig.<\/p>\n

Doch bei diesem Trojaner handelte es sich um ein besonders raffiniertes Exemplar \u2013 unsere Experten beschlossen daher, die Malware genauer unter die Lupe zu nehmen. Sie f\u00fchrten ihre eigenen Untersuchungen<\/a> durch und stellten fest, dass sie Teil einer b\u00f6swilligen Kampagne (die wir PhantomLance genannt haben) ist, die bereits seit Ende 2015 aktiv ist.<\/p>\n

Dazu ist PhantomLance f\u00e4hig<\/h2>\n

Unsere Experten stie\u00dfen auf verschiedene Versionen von PhantomLance. Trotz ihrer zunehmenden Komplexit\u00e4t und der unterschiedlichen Erscheinungszeitpunkte sind sie sich in ihren F\u00e4higkeiten ziemlich \u00e4hnlich.<\/p>\n

Das Hauptziel der Malware PhantomLance ist es, vertrauliche Informationen ihrer Opfer zu sammeln. Sie kann ihren Entwicklern Standortdaten, Anrufprotokolle, Textnachrichten, Listen installierter Apps und vollst\u00e4ndige Informationen zum infizierten Smartphone bereitstellen. Dar\u00fcber hinaus kann die Funktionalit\u00e4t jederzeit durch das Laden zus\u00e4tzlicher Module vom C&C-Server erweitert werden.<\/p>\n

Verbreitung von PhantomLance<\/h2>\n

Wir k\u00f6nnen mit Sicherheit sagen, dass infizierte Apps erstmals im Sommer 2018 im Store erschienen. Die Malware wurde dabei in Dienstprogrammen zur Schriftbearbeitung in AdCleanern und Apps zur Systembereinigung versteckt.<\/p>\n

\"Eine

Eine App mit der Backdoor PhantomLance im Google Play Store<\/p><\/div>\n

Selbstverst\u00e4ndlich wurden alle Apps, die PhantomLance enthalten, inzwischen aus dem offiziellen Google Play Store entfernt; dennoch k\u00f6nnen Kopien weiterhin in Drittanbieter-Stores koexistieren. Ironischerweise geben einige dieser Spiegel-Repositorys an, dass das Installationspaket direkt von Google Play heruntergeladen wurde und daher definitiv virenfrei ist.<\/p>\n

Doch wie haben die Cyberkriminellen es geschafft, ihr Spielzeug in den offiziellen Store von Google zu schleusen? Um die Authentizit\u00e4t ihrer App zu erh\u00f6hen, haben die Angreifer zun\u00e4chst ein Profil f\u00fcr jeden ihrer Entwickler auf GitHub erstellt; diese Profile enthielten lediglich eine Art Lizenzvereinbarung. Trotzdem scheint ein blo\u00dfes Profil auf GitHub Entwicklern bereits ein bestimmtes Ansehen zu verleihen.<\/p>\n

Dar\u00fcber hinaus waren die Apps, die die Entwickler von PhantomLance urspr\u00fcnglich in den Store hochgeladen hatten, nicht sch\u00e4dlich. Die ersten Versionen der Programme enthielten keine verd\u00e4chtigen Funktionen und durchliefen alle Google Play-Pr\u00fcfungen daher mit Bravour. Erst mit den sp\u00e4ter folgenden Updates der Apps, wurden diesen sch\u00e4dliche Funktionen verliehen.<\/p>\n

Zielobjekte von PhantomLance<\/h2>\n

Der geografischen Verbreitung und der Pr\u00e4senz vietnamesischer Versionen sch\u00e4dlicher Apps in Online-Stores zufolge glauben wir, dass die Hauptziele der PhantomLance-Entwickler Benutzer aus Vietnam waren.<\/p>\n

Dar\u00fcber hinaus konnten unsere Experten eine Reihe von Eigenschaften ausmachen, die PhantomLance mit der Gruppe OceanLotus in Verbindung bringen. Diese ist f\u00fcr die Erstellung verschiedener Malware verantwortlich, die ebenfalls auf vietnamesische Nutzer ausgerichtet ist.<\/p>\n

Zu den zuvor analysierten OceanLotus-Malware-Tools geh\u00f6ren eine Familie von MacOS-Backdoors, eine Familie von Windows-Backdoors und eine Reihe von Android-Trojanern, deren Aktivit\u00e4ten in den Jahren 2014 bis 2017 entdeckt wurden. Unsere Experten kamen daher zu dem Schluss, dass PhantomLance ab 2016 die oben genannten Android-Trojaner abgel\u00f6st hat.<\/p>\n

\"PhantomLance

PhantomLance steht in Verbindung zu anderer Malware der Gruppe OceanLotus<\/p><\/div>\n

So sch\u00fctzen Sie sich vor PhantomLance<\/h2>\n

Einer der Tipps, die wir in Beitr\u00e4gen \u00fcber Android-Malware h\u00e4ufig wiederholen, lautet \u201eApps nur aus dem offiziellen Google Play Store herunterladen\u201c. Doch PhantomLance zeigt wieder einmal, dass Malware manchmal selbst die g\u00e4ngigsten Internetgiganten t\u00e4uschen kann.<\/p>\n

Google nimmt wirklich gro\u00dfe Bem\u00fchungen auf sich, um den App Store \u201esauber\u201c zu halten (andernfalls w\u00fcrden wir weitaus h\u00e4ufiger auf verd\u00e4chtige Software sto\u00dfen) \u2013 doch auch die M\u00f6glichkeiten des Unternehmens haben ihre Grenzen, und Angreifer sind oftmals sehr kreativ. Deshalb ist die blo\u00dfe Tatsache, dass eine App Teil von Google Play ist, kein Freifahrtschein. Deshalb sollten Sie auch folgende Faktoren immer beachten:<\/p>\n