PhantomLance, una campaña de spyware que se vale Google Play para propagarse

Los investigadores de Kaspersky han detectado una sofisticada campaña maliciosa dirigida a usuarios de dispositivos Android y atribuible al actor de amenazas persistentes avanzadas OceanLotus. Denominada PhantomLance, la campaña ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo software espía creado para recoger los datos de las víctimas, y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en Google Play.

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

El nivel de sofisticación y comportamiento de las aplicaciones encontradas es muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Este no fue el caso de las aplicaciones maliciosas descubiertas, cuyos operadores no estaban interesados en la difusión masiva. Para los investigadores, esto es un indicio de actividad de APT dirigida.

La funcionalidad de las muestras es similar y su propósito reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo. Además, el actor de la amenaza podía descargar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil para que fuera adecuada al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas.

Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta Github asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.

"PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas", comenta Alexey Firsh, investigador de seguridad de GReAT de Kaspersky.