La porte dérobée Android PhantomLance découverte sur Google Play

Les experts de Kaspersky ont trouvé le cheval de Troie PhantomLance pour Android dans Google Play.

La porte dérobée Android PhantomLance sur Google Play

Au mois de juillet dernier, nos collègues de Doctor Web ont détecté un cheval de Troie sur Google Play. Ce n’est pas quelque chose qui arrive tous les jours, mais ce n’est pas la première fois non plus : les chercheurs trouvent des chevaux de Troie sur Google Play, et parfois même par centaines.

Cependant, ce cheval de Troie était étonnamment sophistiqué pour un malware trouvé sur Google Play ; nos experts ont donc décidé d’enquêter. Ils ont mené leur propre enquête et ont découvert que le malware faisait partie d’une campagne malveillante (que nous avons surnommée PhantomLance) qui existe depuis fin 2015.

Ce que PhantomLance peut faire

Nos experts ont détecté plusieurs versions de PhantomLance. Malgré leur complexité croissante et les différents moments d’apparition, leurs capacités sont assez similaires.

L’objectif principal de PhantomLance est de récolter des informations confidentielles sur l’appareil de la victime. Le malware peut fournir à ses responsables des données de localisation, l’historique des appels, les SMS, la liste des applications installées et des informations complètes sur le smartphone infecté. De plus, ses fonctionnalités peuvent être étendues à tout moment en chargeant simplement des modules supplémentaires depuis le serveur C&C.

Distribution de PhantomLance

Google Play est la principale plateforme de distribution du malware. Il a également été trouvé dans des dépôts tiers, mais ce ne sont pour la plupart que des miroirs de la boutique officielle de Google.

Nous pouvons affirmer avec certitude que des applications infectées par une version du cheval de Troie ont commencé à apparaître dans la boutique à l’été 2018. Le malware était caché dans des utilitaires permettant de changer les polices, de supprimer des publicités, de nettoyer le système, etc.

Une application sur Google Play qui s'est avérée contenir la porte dérobée PhantomLance

Une application sur Google Play qui s’est avérée contenir la porte dérobée PhantomLance

Les applications contenant PhantomLance ont bien évidemment toutes été retirées de Google Play, mais des copies peuvent toujours être trouvées dans les miroirs. Ironiquement, certains de ces dépôts miroirs indiquent que le paquet d’installation a été téléchargé directement depuis Google Play, et est donc supposé être définitivement exempt de virus.

Comment les cybercriminels ont-ils réussi à faire entrer leur jouet en douce dans la boutique officielle de Google ? Tout d’abord, pour plus d’authenticité, les attaquants ont créé un profil de chaque développeur sur GitHub. Ces profils ne contenaient qu’une sorte de contrat de licence. Le fait d’avoir un profil sur GitHub confère apparemment aux développeurs une certaine respectabilité.

Deuxièmement, les applications que les créateurs de PhantomLance ont initialement téléchargées sur la boutique n’étaient pas malveillantes. Les premières versions des programmes ne contenaient aucune fonctionnalité suspecte, et ont donc passé haut la main les contrôles de Google Play. Ce n’est que quelque temps plus tard, avec les mises à jour, que les applications ont acquis des caractéristiques malveillantes.

Les cibles de PhantomLance

À en juger par la géographie de sa propagation, ainsi que par la présence de versions vietnamiennes d’applications malveillantes dans les boutiques en ligne, nous pensons que les principales cibles des créateurs de PhantomLance étaient des utilisateurs du Vietnam.

De plus, nos experts ont détecté un certain nombre de caractéristiques liant PhantomLance au groupe OceanLotus, qui est responsable de la création d’une série de logiciels malveillants visant également les utilisateurs du Vietnam.

L’ensemble des outils malveillants OceanLotus, précédemment analysés, comprend une famille de portes dérobées macOS, une famille de portes dérobées Windows et un ensemble de chevaux de Troie Android, dont l’activité a été repérée entre 2014 et 2017. Nos experts sont arrivés à la conclusion que PhantomLance a succédé aux chevaux de Troie Android susmentionnés à partir de 2016.

PhantomLance est lié à d'autres armes de malwares d'OceanLotus

PhantomLance est lié à d’autres armes de malwares d’OceanLotus

Comment vous protéger de PhantomLance

L’un des conseils que nous répétons souvent dans les articles sur les logiciels malveillants d’Android est le suivant :  » Installez les applications uniquement à partir de Google Play « . Toutefois, PhantomLance démontre une fois de plus que les logiciels malveillants peuvent parfois tromper même les géants de l’Internet.

Google se donne beaucoup de mal pour avoir une boutique d’applications propre (sinon nous tomberions beaucoup plus souvent sur des logiciels suspects), mais les capacités de l’entreprise ne sont pas illimitées et les cybercriminels font preuve d’imagination. Le simple fait qu’une application se trouve sur Google Play ne garantit donc pas qu’elle est sûre. Tenez compte d’autres facteurs :

  • Privilégiez les applications de développeurs de confiance.
  • Regardez attentivement les notes des applications et les commentaires des utilisateurs.
  • Faites attention aux autorisations demandées par une application et n’hésitez pas à refuser si elle en demande trop. Par exemple, une application météo n’a probablement pas besoin d’accéder à vos contacts et à vos messages, tout comme un filtre de photos n’a pas besoin de connaître votre localisation.
  • Analysez les applications que vous installez sur votre appareil Android grâce à une solution de sécurité fiable.

Pour plus d’informations techniques sur PhantomLance, consultez le rapport détaillé de nos experts sur Securelist.

Conseils

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.