Descubren campaña de espionaje en Android distribuida en apps de Google Play
La campaña de espionaje está distribuida de forma inteligente en docenas de apps
La compañía de ciberseguridad Kaspersky ha descubierto una campaña de ciberespionaje especialmente sofistica, denominada PhantomLance, que ha afectado a teléfonos móviles Android en países del sureste asiático y que se distribuye de forma inteligente a través de docenas de aplicaciones de Google Play que se actualizaban con 'malware' y lo modificaban según el dispositivo o el sistema.
PhantomLance ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo 'software' espía creado para recoger los datos de las víctimas, según ha informado Kaspersky en un comunicado remitido a Europa Press.
La campaña "PhantomLance" emplea múltiples versiones de un complejo spyware (software espía) que recopila datos de víctimas, así como tácticas de distribución inteligente en aplicaciones del Google Play Store.
— Kaspersky Latinoamérica (@KasperskyLatino) April 29, 2020
Toda la información aquí 👉 https://t.co/NXJ1YJilsJ pic.twitter.com/ITIcSTERdW
Esta amenaza destaca especialmente por sus métodos de distribución inteligente a través de docenas de aplicaciones aparentemente legítimas publicadas en Google Play y APKpure.
Los atacantes crearon perfiles de desarrolladores falsos con cuentas de GitHub asociadas para lanzar aplicaciones sin levantar sospechas y no ser suspendidas por los mecanismos de seguridad de las plataformas. Estas eran inicialmente inofensivas, pero después las actualizaron con 'malware' espía.
El principal propósito del 'spyware' es reunir información de los móviles Android, lo que incluye geolocalización, registros de llamadas, acceso a contactos y acceso a SMS. Las aplicaciones maliciosas de PhantomLance también pueden recopilar una lista de aplicaciones instaladas, así como el modelo del celular y la versión del sistema operativo.
Además, el atacante puede descargar y ejecutar varias cargas útiles maliciosas para adaptarse al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.
Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como India, Bangladesh, Indonesia y Vietnam, y algunas de estas 'apps' se encontraban solo en vietnamita como idioma. La campaña presenta un 20 % de puntos en común con otras del actor malicioso OceanLotus, centrado en el sudeste asiático.
Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas de aplicaciones, y Google Play ya ha confirmado que se han retirado las aplicaciones maliciosas de su plataforma.
