俄罗斯安全企业卡巴斯基Kaspersky近日披露,有个名为PhantomLance的间谍活动,通过Google Play与其它Android程序市场传播恶意程序,可能是越南黑客集团OceanLotus所发起的攻击行动。
根据研究人员的分析,这些间谍程序之所以能够蒙混过关,是因为它们的第一个版本都是正常的,而且具备程序所宣称的功能,像是浏览器垃圾文件清除工具或是广告封锁程序等,黑客是在之后的更新版中,嵌入恶意程序代码与酬载,并在GitHub上创建了假的开发者文件。
PhantomLance活动至少从2015年就开始启动,黑客同时通过Google Play与其它第三方市场传送间谍程序,值得注意的是,除了Google已经将它们下架之外,这些间谍程序可能还活跃在其它的Android程序市场上。
尽管黑客创建了许多不同版本的间谍程序,但它们的功能都是相近的,主要用来搜集用户信息,包括设备所当地、通话记录、通讯录、短信内容、设备上所安装的程序、设备型号与操作系统版本等,并会在之后下载其它的恶意酬载。
迄今卡巴斯基发现约有300个设备被感染,它们主要传播在越南、孟加拉、印尼,也有些被黑设备位于尼泊尔、缅甸及马来西亚,看起来黑客主要瞄准南亚地区的特定目标。
由于PhantomLance活动的手法、架构与程序代码,都与OceanLotus黑客组织有所重叠,使得研究人员相信该活动即是由OceanLotus所发动。
OceanLotus去年曾因企图入侵全球汽车产业而曝光,当时传出包括BMW与现代汽车(Hyundai)都是受害者,外界则猜测该攻击行动是由越南政府主使的,意欲借由窃取其它汽车大厂的机密信息,来扶植越南在去年所创建的首个汽车工厂。