Вредоносная кампания PhantomLance, нацеленная на Android-устройства, использовала различные площадки, включая официальный магазин приложений Google Play Store, для установки шпионского софта.
В схеме также были задействованы сторонние магазины приложений — APKpure и APKCombo. Очевидно, злоумышленники пытались охватить как можно больше пользователей.
Саму шпионскую составляющую прятали в приложения, которые с первого взгляда не вызывали никаких подозрений.
Согласно отчёту, опубликованному специалистами «Лаборатории Касперского», PhantomLance пересекается с похожими кампаниями против Windows и macOS. Предположительно, за шпионскими кибероперациями стоит группировка OceanLotus (также APT32), корни которой уходят во Вьетнам.
«Вредоносная кампания активна с 2015 года, в ней задействован целый набор сложных шпионских инструментов, с помощью которых злоумышленники могут извлекать данные жертв», — уточнили в «Лаборатории Касперского».
Конкретный образец шпионской программы, найденный в Play Store, может собирать данные о местоположении, историю телефонных звонков, список контактов, текстовые сообщения и список установленных приложений.
