PhantomLance espía a los usuarios de dispositivos Android

05/05/2020

diarioabierto.es. La campaña ha estado activa al menos desde 2015 presentando múltiples versiones de un complejo software espía creado para recoger los datos de las víctimas y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en la tienda oficial de Google Play.

Los investigadores de Kaspersky han detectado una sofisticada campaña maliciosa dirigida a usuarios de dispositivos Android, y atribuible a OceanLotus. Denominada PhantomLance, la campaña ha estado activa al menos desde 2015 presentando múltiples versiones de un complejo software espía creado para recoger los datos de las víctimas y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en la tienda oficial de Google Play.

En julio de 2019, investigadores informaron de una nueva muestra de software espía encontrada en Google Play. Su nivel de sofisticación y comportamiento era muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Los investigadores de Kaspersky fueron capaces de encontrar otra muestra muy similar de este malware en Google Play.

Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Éste no fue el caso de estas aplicaciones maliciosas recién descubiertas. Parecía que los operadores que estaban detrás de ellas no estaban interesados en la difusión masiva. Investigaciones adicionales permitieron descubrir varias versiones de este malware con docenas de muestras, conectadas por múltiples similitudes de código.

La funcionalidad de todas las muestras era similar: reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo.

Además, el actor de la amenaza, OceanLotus, podía descargar y ejecutar varias cargas útiles maliciosas y adaptarlas al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.

Las investigaciones posteriores indicaron que PhantomLance se distribuía principalmente en diversas plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.

Las cargas útiles de PhantomLance eran al menos un 20% similares a las de una de las antiguas campañas de Android asociadas a OceanLotus, un actor que ha estado en funcionamiento desde al menos 2013.

Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas legítimas de aplicaciones. Google Play ha confirmado que han retirado las aplicaciones.

«Esta campaña es un ejemplo claro de cómo los actores de amenazas avanzadas se están adentrando en aguas más profundas y se están volviendo más difíciles de encontrar. PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas», comenta Alexey Firsh, investigador de seguridad de GReAT de Kaspersky.

¿Te ha parecido interesante?

(+1 puntos, 1 votos)

Cargando...

Aviso Legal
Esta es la opinión de los internautas, no de diarioabierto.es
No está permitido verter comentarios contrarios a la ley o injuriantes.
Nos reservamos el derecho a eliminar los comentarios que consideremos fuera de tema.
Su direcciónn de e-mail no será publicada ni usada con fines publicitarios.