Agresywne działania wietnamskich hakerów w Azji

Użytkownicy Androida znajdujący się w Azji padli ofiarą kampanii szpiegowskiej, za którą odpowiada grupa wietnamskich hakersków OceanLotus. Operacja została nazwana przez specjalistów Kaspersky Lab „PhantomLance” i ważnym jej elementem jest wykorzystanie złożonego oprogramowania szpiegującego, które jest dystrybuowane za pośrednictwem dziesiątek aplikacji na oficjalnym rynku Google Play – informuje serwis Threat Post.

Eksperci wskazują, ze złośliwe oprogramowanie może gromadzić dane geolokalizacyjne, spis połączeń, wykaz kontaktów oraz monitorować aktywność SMS. Co więcej, dzięki niemu cyberprzestępcy są w stanie pozyskać informacje na temat zainstalowanych aplikacji, a także szczegółowe dane na temat urządzenia, w tym wersji systemu operacyjnego.

Jak wskazuje Threat Post, od 2019 roku znaleziono wiele wersji złośliwego oprogramowania w różnych aplikacjach dostępnych między innymi w Google Play. Specjaliści Kaspersky Lab podkreślają, że wszystkie odkryte próbki złośliwego oprogramowania są do siebie podobne.

Po zainstalowaniu zainfekowanej aplikacji skanowane jest urządzenie ofiary w celu identyfikacji wersji systemu operacyjnego oraz zgromadzenia innych danych na temat sprzętu. Następnie na podstawie zdobytych danych hakerzy dopasowują konkretne złośliwe oprogramowanie do indywidualnego urządzenia.

„Naszą główną teorią dotyczącą przyczyn tych wszystkich działań jest to, że cyberprzestępcy próbują zastosować różnorodne techniki, aby osiągnąć swój główny cel – ominięcie filtrowania Google” – wskazują eksperci, cytowani przez Threat Post. – „I udało im się to osiągnąć”.

Ominięcie zabezpieczeń było możliwe między innymi dlatego, że cyberprzestępcy początkowo udostępnili na platformie Google prawidłowe wersje aplikacji, które nie zawierały żadnych szkodliwych ładunków. Wirus był wprowadzony dopiero w kolejnych aktualizacjach produktów. Dodatkowo, cyberprzestępcy dopracowali swoje działania do tego stopnia, że nawet opracowali własną politykę prywatności dedykowaną do oferowanych aplikacji.

Specjaliści podczas analizy złośliwej kampanii zauważyli, że hakerzy nie byli zainteresowani prowadzeniem operacji na dużą skalę. Według pozyskanych danych od 2016 roku zaobserwowano jedynie 300 prób infekcji urządzeń z system Android – głównie w Indiach, Wietnamie, Bangladeszu i Indonezji.

„Zwykle, jeśli twórcom złośliwego oprogramowania uda się przesłać zainfekowaną aplikację do legalnego sklepu, inwestują znaczne zasoby w jej promocję w celu zwiększenia liczby instalacji, a tym samym zwiększenia liczby ofiar” – tłumaczą specjaliści Kaspersky Lab na łamach Threat Post. – „W tym przypadku tak nie było”.

Aktywność OceanLotus

Kampania została przypisana do działalności OceanLotus. Ugrupowanie jest powiązane z Wietnamem i w środowisku funkcjonuje również jako APT32. Jego cele znajdują się głównie w Azji Południowo-Wschodniej. Jak informowaliśmy wcześniej, cyberprzestępcy OceanLotus przeprowadzili złośliwą kampanię cyberszpiegowską wymierzoną w chińskie podmioty państwowe, w tym Ministerstwo Zarządzania Kryzysowego, a także rząd prowincji Wuhan, chcąc wykraść informacje na temat COVID-19.

Pierwszy znany przypadek tej kampanii miał miejsce 6 stycznia bieżącego roku, kiedy to APT32 rozesłała e-maile, zawierające link do witryny, na której znajdowało się oprogramowanie szpiegujące, do chińskiego resortu zarządzania kryzysowego.

W tym miejscu warto przypomnieć, że Wietnam jest jednym z tych państw, które dobrze sobie radzą z pandemią koronawirusa. Według stanu na dzień 23 kwietnia bieżącego roku potwierdzono łączną liczbę 268 przypadków zachorowań na COVID-19. Jak informuje Vietnam Briefing, w ostatnim tygodniu nie zgłoszono jednak żadnych nowych przypadków. Co więcej, 223 dotkniętych wirusem pacjentów wyzdrowiało i zostało wypisanych ze szpitali. Czy operacje hakerskie wymierzone w chińskie organizacje walczące z koronawirusem mają wpływ na obecną sytuację w Wietnamie?