卡巴斯基：间谍组织利用Google Play托管恶意应用长达四年

近日外媒报道，卡巴斯基研究团队警告称，Google Play托管的恶意应用正在被黑客秘密监视和窃取Android用户数据。据了解，该监视是来自所谓的“幽灵枪”(PhantomLance)组织行动，该运动已经开展了至少四年，目前也正在进行中，而且该恶意行动中至少有两款软件已经越过了谷歌的防线。

• 事件概述

根据卡巴斯基研究团队的说法，在科技巨头的官方Android移动应用程序存储库Google Play中发现了数十个与PhantomLance连接并包含新木马的恶意应用程序。此外，在APK的下载网站APKpure上也发现了恶意应用。

据悉，此前谷歌的Android应用程序商店从来没有因为任何恶意软件而备受关注。但是多年来，可疑的广告软件，甚至是银行木马，都在不断地挑战谷歌的安全检查。如今，安全研究人员发现了一种似乎更为罕见的安卓滥用形式：间谍不断将他们的目标黑客工具潜入游戏商店和受害者的手机中。

卡巴斯基还表示，他们已经将PhantomLance行动与黑客组织“海洋莲花”(OceanLotus)联系在一起。同时，外界也普遍认为，该间谍组织也可能是APT32，而且正在为越南政府工作。这表明，PhantomLance行动可能是在监视越南的东南亚邻国的同时也在国内监视越南公民。例如，安全公司火眼(FireEye)曾将“海莲花”与之前针对越南政治异见人士和博客作者的行动联系起来。

• 攻击活动的发展过程

早在去年7月，PhantomLance针对谷歌游戏的黑客活动第一次被曝光。当时，俄罗斯安全公司Dr. Web在谷歌的应用程序商店中发现了一个间谍软件样本，它模拟了一个图形设计软件的下载程序，但实际上它可以从Android手机上窃取用户的联系人信息、通话记录和短信内容。

随后，卡巴斯基的研究人员发现了一个类似的间谍软件应用程序，它模仿了一种名为browser Turbo的浏览器缓存清理工具，该工具在11月的谷歌系统中仍然活跃。在这两款恶意应用被举报后，谷歌将它们从谷歌播放中删除。虽然这些应用程序的间谍能力相当基础，但在一定程度上它们都是可以扩展的。

接着，研究人员找到了几十个其他类似的间谍软件应用，而且这些应用可以追溯到2015年，发现后谷歌立即把它们从Play Store中删除，但仍然可以在应用存储库的存档镜像中看到它们。研究人员表示，在每一个案例中，黑客都创建了一个新账户，甚至还创建了Github存储库，供开发人员使用，以使应用程序显得合法，并隐藏黑客的踪迹。

其实，在大多数情况下，这些早期的应用程序比谷歌游戏中使用的两个应用程序更好地隐藏了它们的意图，因为它们在安装时被设计成一个相对干净的系统，直到后来才在更新中添加了所有恶意功能。在之后的某些情况下，这些恶意软件的有效载荷似乎也利用了“根”权限，允许它们凌驾于Android的权限系统之上。对此，卡巴斯基表示，目前他们无法找到这些应用程序用来破解Android操作系统并获得这些特权的实际代码。

最后，卡巴斯基的库尔特•鲍姆加特纳研究员表示，PhantomLance的操作尤其令人不安，因为它显示，即使谷歌将OceanLotus的大部分间谍软件从谷歌中移除，但是它至少也会还有两个恶意应用存在于系统中，这对系统而言是一个长期隐患。同时他表示，使用移动平台作为主要感染点正变得越来越流行。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。