Hackargruppen  OceanLotus har använt Googles officiella butik för appar till Android för att sprids malware till användare och det har pågått under flera år, ända sedan 2015.

Kampanjen har fått ett eget namn, PhantomLance, och har upptäckts och avslöjats av säkerhetsföretaget Kaspersky.

In July 2019, Dr. Web reported about a backdoor trojan in Google Play, which appeared to be sophisticated and unlike common malware often uploaded for stealing victims’ money or displaying ads. So, we conducted an inquiry of our own, discovering a long-term campaign, which we dubbed “PhantomLance”, its earliest registered domain dating back to December 2015. We found dozens of related samples that had been appearing in the wild since 2016 and had been deployed in various application marketplaces including Google Play. One of the latest samples was published on the official Android market on November 6, 2019. We informed Google of the malware, and it was removed from the market shortly after.

Kaspersky

Avslöjar

Av rapporten framgår att flera av de allvarliga säkerhetsincidenter som upptäckts på senare år, i Googles egen butik, Google Play, kan kopplas samman och bindas till samma grupp, OceanLotus. De malware som nu är aktuella har spridits via uppladdade appar som innehållit den skadliga koden men som trots det har godkänts av Google och som funnits i butiken för nedladdning.

Det finns också kopplingar till bakdörrar och trojaner som gruppen försökt sprida bland användare av macOS för att försöka att infektera Mac-datorer.

Kaspersky