Difficile dire che Google Play Store sia una piattaforma sicura o esente da minacce quali malware o adware, tuttavia alcuni ricercatori di sicurezza hanno scoperto, all’interno dello store del robottino verde, un vero e proprio atto di spionaggio e hacking ai danni degli utenti, forse perpetrato da un gruppo al soldo del governo vietnamita
A scoprire la presenza di app dannose, in grado di spiare e rubare dati di nascosto i dati degli utenti Android, la società di sicurezza informatica russa Kaspersky. La campagna di hacking, soprannominata dall’agenzia PhantomLance, sarebbe attiva da almeno quattro anni su Google Play Store, ed è tuttora in corso.
Secondo il team russo, dozzine di app dannose che nascondono un nuovo Trojan sarebbero collegate alla campagna PhantomLance. Queste app malevole, una volta avviate, simulano un controllo per le nuove versioni di OpenGL ES, ma in realtà installano una backdoor e iniziano a filtrare le informazioni dell’utente. La complessità di questo nuovo malware suggerisce che non si tratta del lavoro di “hacker della domenica” ma di informatici di altissimo livello.
Questo nuovo malware PhantomLance, di cui sono state rilevate più varianti, ha caratteristiche di spyware ed è in grado di rubare informazioni degli utenti come registri chiamate telefoniche, contatti, dati GPS, messaggi SMS e informazioni sul modello del dispositivo e sul sistema operativo.
Kaspersky sospetta che sia un gruppo APT (Advanced Persistent Threat – ovvero uno Stato o un gruppo di hacker sponsorizzato da uno Stato) a nascondersi dietro la campagna PhantomLance vista la capacità di nascondere le tracce dei malware. In quasi tutti i casi gli sviluppatori delle app, infatti, hanno creato profili falsi su GitHub e, inoltre, nelle prime versioni l’app non conteneva codici dannosi, evitando il rilevamento. Sono infatti gli aggiornamenti successivi dell’app a portare con sé il malware.
Dal 2016 sono stati rintracciati circa 300 tentativi di “infezione” su dispositivi Android in paesi come India, Vietnam, Bangladesh e Indonesia. L’attribuzione di questi attacchi è spesso difficile, tuttavia, secondo Kaspersky, nel caso di PhantomLance, ci sono alcuni elementi che coinvolgono il gruppo APT OceanLotus, noto anche come APT32, che si crede stia lavorando per conto del governo vietnamita.
OceanLotus è attivo dal 2013 ed è stato collegato ad attacchi informatici contro diverse istituzioni tra cui il governo cinese. Di recente, è stato lanciato un nuovo attacco al Ministero cinese per la gestione delle emergenze nel tentativo di trovare e rubare dati relativi alla pandemia di COVID-19.