Mitarbeiter der IT-Sicherheitsfirma Kaspersky haben Untersuchungen zu bestimmten Apps durchgeführt, nachdem zuvor Dr. Web im Juli eine App ausfindig gemacht hatte, die mit einer Backdoor ausgestattet war. In ihrer Recherche haben Firsh und Pikman eine Hackergruppe identifiziert, die wohl hinter mehreren Apps steckt. Die beiden Whitehats haben dieser Gruppe den Namen „PhantomLance“ gegeben. Bei der zuletzt genannten App der Gruppe handelte es sich, um einen Browser Cleaner, der im November 2019 bei Google Play veröffentlicht wurde. Inzwischen wurden alle erkannten schädlichen Apps der Gruppe vom Markt genommen.
Die Kaspersky-Mitarbeiter haben acht Apps definitiv als Malware identifizieren können. Seit mindestens 2015 ist die Gruppe mit einer Domain aktiv gewesen. Bis ins Jahr 2016 lassen sich die ersten Apps zurückverfolgen. Der Code ist in einigen Sequenzen mit der von einer anderen bereits bekannten Hackergruppe namens OceanLotus identisch, was auf Verbindungen zu dieser neuen Gruppe hindeutet. Dazu nochmal am Ende des Artikels mehr.
Dabei ist erschreckend, wie einfach die Hacker die Sicherheitsvorkehrungen von Google umgehen konnte. Eine Methode bestand der Untersuchung von Kaspersky zufolge einfach darauf, dass zuerst eine legitime Version der App eingereicht wurde. Erst später wurde dann die Hintertür in die Software eingepflanzt. Offenbar ohne, dass Google das Update kritisch untersucht hätte. Eine zweite Methode bestand darin, die App zunächst nicht nach Befugnissen fragen zu lassen, wie z.B. die Erlaubnis die Kontakte oder die Kamera nutzen zu können. Erst später wurden diese Befugnisse abgefragt, was durch versteckten Code ermöglicht wurde.
Durch die Hintertüren konnten die Hacker Daten sammeln. Darunter zum Beispiel das Hardware-Modell, die Systemsoftware und welche Apps installiert waren. Darauf basierend konnte dann Schadsoftware auf dem Smartphone installiert werden, die speziell auf das bestimmte Gerät angepasst war. So konnten auch sehr empfindliche Daten über Location, Telefonate, Kontakte und Nachrichten abgezapft werden. Da die Schadsoftware jedes Mal modifiziert wurde, konnte die Gruppe lange Zeit unerkannt bleiben.
Ziel der Malware ist es scheinbar nicht, Geld mit den Daten zu verdienen. Die Untersuchung der Kaspersky-Mitarbeiter stößt dabei allerdings auf Grenzen: Die Schadsoftware selbst konnte in keinem Fall erlangt werden. Diese gute OPSEC-Arbeit ist ein Hinweis darauf, dass es sich bei den Hackern um Profis handelt.
Da es Überschneidungen mit OceanLotus im Code gibt und auch bei PhantomLance vietnamesischer Code auftaucht, mutmaßen Firsh und Pikman, dass die Hackergruppe für die vietnamesische Regierung arbeiten könnte. Darauf deutet auch hin, dass die primäre Opfergruppe wohl vorrangig aus Vietnam teilweise aber auch aus China stammt. Das Interesse könnte darin liegen, Informationen über Oppositionelle im Land zu erlangen. Es wäre bekannt nicht das erste Mal, dass die Regierung ihre eigenen Bürger bespitzelt. Für uns Europäer liegt der Skandal aber vorrangig in der unzureichenden Sicherheitsarbeit von Google.