No  ano passado, foi detetctado um Trojan de backdoor na Google Play. Por mais que descobertas como essas não sejam usuais, também não são raras. Dessa vez, no entanto, o Trojan era surpreendentemente sofisticado. Então especialistas da Kaspersky decidiram se aprofundar em uma investigação própria e descobriram que o malware faz parte de uma campanha maliciosa (chamada de PhantomLance) em andamento desde o final de 2015.

O que o PhantomLance pode fazer

Foram detectadas várias versões do PhantomLance, que são muito semelhantes entre si em termos de funcionalidades, apesar da crescente complexidade e das diferenças no tempo de surgimento.

O principal objetivo do PhantomLance é coletar informações confidenciais. O malware fornece aos seus manipuladores dados de localização, registros de chamadas, mensagens de texto, listas de aplicativos instalados e informações completas sobre o smartphone infectado. Além disso, sua funcionalidade pode ser expandida a qualquer momento simplesmente carregando módulos adicionais do servidor de comando e controle.

Distribuição do PhantomLance

A Google Play é a principal plataforma de distribuição do malware. Podemos dizer com certeza que os aplicativos infectados com uma versão do Trojan começaram a aparecer na loja virtual durante o verão de 2018.

Como os cibercriminosos conseguiram infiltrar seus códigos maliciosos na loja oficial do Google? Primeiro, para maior autenticidade, criaram um perfil para cada desenvolvedor no GitHub. Esses perfis continham apenas algum tipo de contrato de licença. No entanto, ter um perfil no GitHub fornece credibilidade aos desenvolvedores.

O próximo passo dos criadores do PhantomLance foi começar a atualizar os aplicativos enviados para a loja, que que passaram a ser maliciosos diferentemente do momento inicial em que entraram com versões que não continham recursos suspeitos, passando pela checagem da Google Play

Como se proteger contra o PhantomLance

Normalmente é recomendado como proteção aos malwares em Android “Instalar aplicativos apenas a partir da Google Play”. Mas o PhantomLance demonstra mais uma vez que os invasores podem ser bem criativos e os malware às vezes pode enganar até os gigantes da Internet.

Portanto, o simples fato de um aplicativo estar na Google Play não garante sua segurança. Sempre considere outros fatores:

• Dê preferência aos apps de desenvolvedores confiáveis.
• Preste atenção às avaliações e notas dos usuários.
• Observe atentamente as permissões solicitadas por um aplicativo e não hesite em recusar se achar que está pedindo muito. Por exemplo, um app meteorológico provavelmente não precisa acessar seus contatos e mensagens e, da mesma forma, um filtro de fotos não precisa saber sua localização.
• Escaneie os apps instalados em seu dispositivo Android com uma solução de segurança confiável.

Fonte