{"id":14781,"date":"2020-05-06T06:30:54","date_gmt":"2020-05-06T06:30:54","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14781"},"modified":"2020-05-07T17:41:46","modified_gmt":"2020-05-07T17:41:46","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/phantomlance-android-backdoor-trojan\/14781\/","title":{"rendered":"La porte d\u00e9rob\u00e9e Android PhantomLance d\u00e9couverte sur Google Play"},"content":{"rendered":"

Au mois de juillet dernier, nos coll\u00e8gues de Doctor Web <\/span><\/span>ont d\u00e9tect\u00e9<\/span><\/a> un <\/span>cheval de Troie<\/span><\/a> sur Google Play. Ce n\u2019est pas quelque chose qui arrive tous les jours, mais ce n\u2019est pas la premi\u00e8re fois non plus : les chercheurs trouvent des chevaux de Troie sur Google Play, et parfois m\u00eame par centaines.<\/span><\/span><\/p>\n

Cependant, ce cheval de Troie \u00e9tait \u00e9tonnamment sophistiqu\u00e9 pour un malware trouv\u00e9 sur Google Play ; nos experts ont donc d\u00e9cid\u00e9 d\u2019enqu\u00eater. Ils ont men\u00e9 <\/span><\/span>leur propre enqu\u00eate<\/span><\/a> et ont d\u00e9couvert que le malware faisait partie d\u2019une campagne malveillante (que nous avons surnomm\u00e9e PhantomLance) qui existe depuis fin 2015.<\/span><\/span><\/p>\n

Ce que PhantomLance peut faire<\/span><\/span><\/h2>\n

Nos experts ont d\u00e9tect\u00e9 plusieurs versions de PhantomLance. Malgr\u00e9 leur complexit\u00e9 croissante et les diff\u00e9rents moments d\u2019apparition, leurs capacit\u00e9s sont assez similaires.<\/span><\/span><\/p>\n

L\u2019objectif principal de PhantomLance est de r\u00e9colter des informations confidentielles sur l\u2019appareil de la victime. Le malware peut fournir \u00e0 ses responsables des donn\u00e9es de localisation, l\u2019historique des appels, les SMS, la liste des applications install\u00e9es et des informations compl\u00e8tes sur le smartphone infect\u00e9. De plus, ses fonctionnalit\u00e9s peuvent \u00eatre \u00e9tendues \u00e0 tout moment en chargeant simplement des modules suppl\u00e9mentaires depuis le serveur C&C.<\/span><\/span><\/p>\n

Distribution de PhantomLance<\/span><\/span><\/h2>\n

Google Play est la principale plateforme de distribution du malware. Il a \u00e9galement \u00e9t\u00e9 trouv\u00e9 dans des d\u00e9p\u00f4ts tiers, mais ce ne sont pour la plupart que des miroirs de la boutique officielle de Google.<\/span><\/span><\/p>\n

Nous pouvons affirmer avec certitude que des applications infect\u00e9es par une version du cheval de Troie ont commenc\u00e9 \u00e0 appara\u00eetre dans la boutique \u00e0 l\u2019\u00e9t\u00e9 2018. Le malware \u00e9tait cach\u00e9 dans des utilitaires permettant de changer les polices, de supprimer des publicit\u00e9s, de nettoyer le syst\u00e8me, etc.<\/span><\/span><\/p>\n

\"Une

Une application sur Google Play qui s\u2019est av\u00e9r\u00e9e contenir la porte d\u00e9rob\u00e9e PhantomLance<\/p><\/div>\n

Les applications contenant PhantomLance ont bien \u00e9videmment toutes \u00e9t\u00e9 retir\u00e9es de Google Play, mais des copies peuvent toujours \u00eatre trouv\u00e9es dans les miroirs. Ironiquement, certains de ces d\u00e9p\u00f4ts miroirs indiquent que le paquet d\u2019installation a \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9 directement depuis Google Play, et est donc suppos\u00e9 \u00eatre d\u00e9finitivement exempt de virus.<\/span><\/span><\/p>\n

Comment les cybercriminels ont-ils r\u00e9ussi \u00e0 faire entrer leur jouet en douce dans la boutique officielle de Google ? Tout d\u2019abord, pour plus d\u2019authenticit\u00e9, les attaquants ont cr\u00e9\u00e9 un profil de chaque d\u00e9veloppeur sur GitHub. Ces profils ne contenaient qu\u2019une sorte de contrat de licence. Le fait d\u2019avoir un profil sur GitHub conf\u00e8re apparemment aux d\u00e9veloppeurs une certaine respectabilit\u00e9.<\/span><\/span><\/p>\n

Deuxi\u00e8mement, les applications que les cr\u00e9ateurs de PhantomLance ont initialement t\u00e9l\u00e9charg\u00e9es sur la boutique n\u2019\u00e9taient pas malveillantes. Les premi\u00e8res versions des programmes ne contenaient aucune fonctionnalit\u00e9 suspecte, et ont donc pass\u00e9 haut la main les contr\u00f4les de Google Play. Ce n\u2019est que quelque temps plus tard, avec les mises \u00e0 jour, que les applications ont acquis des caract\u00e9ristiques malveillantes.<\/span><\/span><\/p>\n

Les cibles de PhantomLance<\/span><\/span><\/h2>\n

\u00c0 en juger par la g\u00e9ographie de sa propagation, ainsi que par la pr\u00e9sence de versions vietnamiennes d\u2019applications malveillantes dans les boutiques en ligne, nous pensons que les principales cibles des cr\u00e9ateurs de PhantomLance \u00e9taient des utilisateurs du Vietnam.<\/span><\/span><\/p>\n

De plus, nos experts ont d\u00e9tect\u00e9 un certain nombre de caract\u00e9ristiques liant PhantomLance au groupe OceanLotus, qui est responsable de la cr\u00e9ation d\u2019une s\u00e9rie de logiciels malveillants visant \u00e9galement les utilisateurs du Vietnam.<\/span><\/span><\/p>\n

L\u2019ensemble des outils malveillants OceanLotus, pr\u00e9c\u00e9demment analys\u00e9s, comprend une famille de portes d\u00e9rob\u00e9es macOS, une famille de portes d\u00e9rob\u00e9es Windows et un ensemble de chevaux de Troie Android, dont l\u2019activit\u00e9 a \u00e9t\u00e9 rep\u00e9r\u00e9e entre 2014 et 2017. Nos experts sont arriv\u00e9s \u00e0 la conclusion que PhantomLance a succ\u00e9d\u00e9 aux chevaux de Troie Android susmentionn\u00e9s \u00e0 partir de 2016.<\/span><\/span><\/p>\n

\"PhantomLance

PhantomLance est li\u00e9 \u00e0 d\u2019autres armes de malwares d\u2019OceanLotus<\/p><\/div>\n

Comment vous prot\u00e9ger de PhantomLance<\/h3>\n

L\u2019un des conseils que nous r\u00e9p\u00e9tons souvent dans les articles sur les logiciels malveillants d\u2019Android est le suivant : \u00a0\u00bb Installez les applications uniquement \u00e0 partir de Google Play \u00ab\u00a0. Toutefois, PhantomLance d\u00e9montre une fois de plus que les logiciels malveillants peuvent parfois tromper m\u00eame les g\u00e9ants de l\u2019Internet.<\/p>\n

Google se donne beaucoup de mal pour avoir une boutique d\u2019applications propre (sinon nous tomberions beaucoup plus souvent sur des logiciels suspects), mais les capacit\u00e9s de l\u2019entreprise ne sont pas illimit\u00e9es et les cybercriminels font preuve d\u2019imagination. Le simple fait qu\u2019une application se trouve sur Google Play ne garantit donc pas qu\u2019elle est s\u00fbre. Tenez compte d\u2019autres facteurs :<\/p>\n