Die Experten von Kaspersky haben eine hochentwickelte und schädliche Kampagne [1] entdeckt, die es explizit auf Nutzer von Android-Geräten abgesehen hat und vermutlich vom APT-Akteur ,OceanLotus‘ stammt. Die sogenannte ,PhantomLance‘-Kampagne läuft seit mindestens 2015 und ist weiterhin aktiv. Dabei kommen verschiedene Versionen komplexer Spyware, die für das Sammeln von Daten der Opfer entwickelt wurde, sowie smarte Verbreitungstaktiken – beispielsweise über Dutzende Apps im offiziellen Google-Play-Marktplatz – zum Einsatz. Die Experten von Kaspersky haben eine hochentwickelte und schädliche Kampagne [1] entdeckt, die es explizit auf Nutzer von Android-Geräten abgesehen hat und vermutlich vom APT-Akteur ,OceanLotus‘ stammt. Die sogenannte ,PhantomLance‘-Kampagne läuft seit mindestens 2015 und ist weiterhin aktiv. Dabei kommen verschiedene Versionen komplexer Spyware, die für das Sammeln von Daten der Opfer entwickelt wurde, sowie smarte Verbreitungstaktiken – beispielsweise über Dutzende Apps im offiziellen Google-Play-Marktplatz – zum Einsatz.

Im Juli 2019 berichteten andere Sicherheitsexperten von einem neuen Spyware-Sample [2] in Google Play. Die Untersuchung zog, wegen der unerwarteten Features, die Aufmerksamkeit von Kaspersky auf sich – das hochentwickelte Niveau und das Verhalten der Spyware hoben sich stark von anderen Trojanern ab, die für gewöhnlich in offiziellen App Stores zu finden sind. So konnten die Kaspersky-Forscher ein sehr ähnliches Sample dieser Malware auf Google Play finden. 

Wenn es Entwicklern von Schadprogrammen gelingt, ihre schädliche App auf einen legitimen App Store zu laden, investieren sie normalerweise beträchtliche Ressourcen für die Bewerbung der App, um so die Anzahl der Installationen und damit auch die der Opfer zu erhöhen. Dies war bei diesen neu gefundenen schädlichen Apps jedoch nicht der Fall – die Hintermänner der Kampagne waren wohl nicht an einer Massenverbreitung interessiert. Für die Kaspersky-Experten war dies ein Hinweis auf eine zielgerichtete APT-Aktivität (Advanced Persistent Threat). Folgeuntersuchungen förderten weitere Versionen der Malware mit dutzenden Samples zu Tage, die über mehrere Ähnlichkeiten im Code miteinander in Verbindung standen.

Die Funktionalität all dieser Samples war ähnlich – der primäre Zweck der Spyware lag im Sammeln von Informationen. Während die Basisfunktionalität nicht sehr breit ausgerichtet und insbesondere auf Geolocation, Anruflisten sowie Zugang zu Kontakten und SMS lag, war die Anwendung zudem in der Lage, Informationen über die auf dem kompromittierten Gerät installierten Apps sowie Geräteinformationen wie Modell oder genutzte Betriebssystemversion zu sammeln. Darüber hinaus konnte der Bedrohungsakteur unterschiedliche schädliche Payloads downloaden und ausführen, die für die jeweilige Geräteumgebung, zum Beispiel die entsprechende Android-Version und die installierten Apps, angepasst waren. So vermied der Bedrohungsakteur, dass die Anwendung mit unnötigen Funktionen überlastet wird und sich so auf das Sammeln der anvisierten Informationen konzentrieren kann. 

Ausgeklügelte Verbreitung über offizielle Quellen

Weitere Untersuchungen deuten auch darauf hin, dass PhantomLance in erster Linie auf verschiedenen Plattformen und Marktplätzen verbreitet wurde – darunter, aber nicht ausschließlich, auf Google Play und APKpure. Um Apps legitim erscheinen zu lassen, wurde fast immer bei der Verbreitung der Malware von den Hintermännern ein gefälschtes Entwicklerprofil durch die Erstellung eines dazugehörigen Github-Kontos aufgebaut. Um unter dem Radar der von den Marktplätzen verwendeten Filtermechanismen zu bleiben, enthielten die ersten Versionen der Anwendung, die vom Bedrohungsakteur auf den Marktplätzen hochgeladen wurden, keine bösartigen Payloads. Erst bei späteren Updates wurden die Apps um schädliche Payloads sowie einem Code zur Platzierung und Ausführung dieser erweitert.

Laut dem Kaspersky Security Network (KSN) [3] wurden seit dem Jahr 2016 rund 300 Infektionsversuche auf Android-Geräten in Indien, Vietnam, Bangladesch und Indonesien festgestellt. Vietnam stach dabei als eines der Topländer in puncto versuchter Attacken hervor. Darüber hinaus wurden einige der schädlichen Apps, die während der Kampagne zum Einsatz kamen, ausschließlich in Vietnamesischer Sprache erstellt.

APT-Akteur OceanLotus steckt wohl hinter der Kampagne

Über die Kaspersky Malware Attribution Engine – ein internes Tool zur Identifizierung von Ähnlichkeiten zwischen schädlichen Codes – konnten die Forscher feststellen, dass die Payloads von PhantomLance mindestens 20 Prozent Ähnlichkeit zu einer älteren Android-Kampagne aufwiesen, die im Zusammenhang mit OceanLotus stand. Dabei handelt es sich um einen Akteur, der seit mindestens dem Jahr 2013 aktiv ist und es insbesondere auf Ziele in Südasien abgesehen hat. Des Weiteren kristallisierten sich wichtige Überschneidungen mit zuvor berichteten Aktivitäten von OceanLotus auf Windows und MacOS heraus. Daher gehen die Kaspersky-Forscher davon aus, dass die PhantomLance-Kampagne vermutlich mit OceanLotus in Verbindung steht.

Kaspersky hat die entdeckten Samples den Betreibern der legitimen App Stores gemeldet. Google Play hat bestätigt, die betroffenen Apps aus dem Marktplatz entfernt zu haben.

"Diese Kampagne ist ein bedeutendes Beispiel dafür, wie fortgeschrittene Bedrohungsakteure immer weiter abtauchen und so schwerer zu finden sind", konstatiert Alexey Firsh, Sicherheitsforscher GReAT (Global Research and Analysis Team) bei Kaspersky. "PhantomLance ist seit über fünf Jahren aktiv und die Bedrohungsakteure haben es geschafft, die Filter der App Stores mehrmals zu umgehen, indem sie fortschrittliche Techniken einzusetzen, um ihre Ziele zu erreichen. Wir sehen darüber hinaus, dass die Verwendung mobiler Plattformen als primärer Infektionspunkt immer beliebter wird und sich immer mehr Akteure in diesem Bereich weiterentwickeln. Diese Entwicklungen unterstreichen die Bedeutung einer kontinuierlichen Verbesserung der Bedrohungsinformationen und der unterstützenden Dienste, die dazu beitragen können, die Bedrohungsakteure aufzuspüren und Überschneidungen zwischen verschiedenen Kampagnen zu finden."

Kaspersky-Sicherheitsmaßnahmen zum Schutz vor zielgerichteten Angriffen wie PhantomLance

Privatanwender sollten eine verlässliche Sicherheitslösung wie Kaspersky Security Cloud [4] zum Schutz vor Cyberbedrohungen einsetzen. Die darin enthaltene VPN-Lösung Kaspersky Secure Connection [5] verhindert, dass Online-Aktivitäten nachvollzogen werden können. Außerdem werden die IP-Adresse sowie der Standort verschleiert und Daten werden über einen sicheren VPN-Tunnel übertragen.

Schutzmaßnahmen für Unternehmen:

• Die verwendete Endpoint-Sicherheitslösung sollte mit einem Schutz für mobile Geräte wie zum Beispiel Kaspersky Security for Mobile [6] ausgestattet sein. Denn damit wird gewährleistet, dass nur legitime Apps auf dem Unternehmensgerät installiert werden; ein Rooting-Schutz ermöglicht zudem das Blocken gerooteter Geräte oder das Entfernen von gespeicherten Unternehmensdaten auf diesen.
• Security Operations Center (SOCs) sollten Zugang zu aktueller Threat Intelligence haben und sich mit den neuesten und ständig weiter entwickelnden Tools, Techniken und Taktiken der Bedrohungsakteure und Cyberkriminellen vertraut machen.
• Eine EDR-Lösung wie Kaspersky Endpoint Detection and Response [7] kann Vorfälle frühzeitig erkennen und beheben.
• Eine Sicherheitslösung für zielgerichtete Bedrohungen wie Kaspersky Anti Targeted Attack Platform [8] erkennt komplexe Angriffe frühzeitig auf Netzwerkebene.

Weitere Informationen zu PhantomLance sind verfügbar unter https://securelist.com/apt-phantomlance/96772/

[1] https://securelist.com/apt-phantomlance/96772/

[2] https://news.drweb.com/show/?i=13349&c=0&p=0

[3] Die Analyse von Kaspersky basiert auf anonymen Daten, die aus dem cloudbasierten Kaspersky Security Network (KSN) gewonnen werden. Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern. Ausführliche Informationen über das KSN sind in einem Whitepaper aufgeführt, das unter http://www.kaspersky.com/… abrufbar ist.

[4] https://www.kaspersky.de/security-cloud

[5] https://www.kaspersky.de/… https://www.kaspersky.de/enterprise-security/mobile

[7] https://www.kaspersky.de/enterprise-security/endpoint-detection-response-edr

[8] https://www.kaspersky.de/…

Nützliche Links:.

Kaspersky-Untersuchung zu PhantomLance: https://securelist.com/apt-phantomlance/96772/.

Schutz für Privatanwender: https://www.kaspersky.de/home-security.

Schutz für Unternehmen: https://www.kaspersky.de/small-to-medium-business-security und https://www.kaspersky.de/enterprise-security