Campaña de espionaje cibernético de 5 años oculta en Google Perform



OceanLotus apuntó a dispositivos Android en la llamada campaña PhantomLance.

Una misión de espionaje cibernético dirigida por un notorio equipo de piratería de Vietnam se aprovechó principalmente de los usuarios de Android en el sudeste asiático y evadió la detección en Google Participate in, APKpure y otros mercados de aplicaciones durante cinco años.

Los investigadores de Kaspersky revelaron hoy detalles de su estudio de la campaña de ataque que llaman PhantomLance, que creen que es la obra de OceanLotus. Si bien Kaspersky tiene la política de no vincular grupos de ataque con estados nacionales específicos, se cree que OceanLotus es un grupo vietnamita de amenaza persistente avanzada (APT). PhantomLance, que apunta a Android, ha logrado mantenerse con vida cambiando su malware en el camino para evadir la detección.

Alexey Firsh, investigador de seguridad de Kaspersky, dice que él y su equipo decidieron profundizar en una puerta trasera troyana que se reveló por primera vez en un informe de julio de 2019 por investigadores del Dr. Website. Descubrieron que la puerta trasera relativamente inusual databa de al menos diciembre de 2015, la fecha de registro de uno de los dominios utilizados en la campaña, según Firsh. La última muestra del malware de espionaje estuvo presente en las aplicaciones de Google Enjoy en noviembre de 2019, dice, cuando Kaspersky notificó a Google. Las aplicaciones, que eran una mezcla de docenas de aplicaciones de tipo de utilidad para el consumidor, como bloqueadores de anuncios, complementos Flash, limpiadores de caché y actualizadores, así como aplicaciones vietnamitas para localizar bares e iglesias cercanas, se eliminaron de la tienda Google Play. .

A diferencia de la mayoría de las aplicaciones móviles maliciosas, PhantomLance tiene que ver con la orientación y no con infecciones de purple amplia ni con la promoción de su instalación. Los atacantes crearon varias versiones de la puerta trasera, con docenas de muestras, y cuando una aplicación apareció por primera vez en Google Enjoy u otras tiendas de aplicaciones, no contenía malware: eso se agregó más tarde en forma de actualización, después de que el usuario Lo había instalado. Eso es probablemente lo que permitió a las aplicaciones pasar cualquier investigación de tienda de aplicaciones.

Ha habido unos 300 intentos de ataque contra los androides en India, Vietnam, Bangladesh e Indonesia desde 2016.

OceanLotus, también conocido como APT32, durante años se ha visto dirigido a ciudadanos vietnamitas y disidentes y periodistas, así como a industrias en Alemania, China, Filipinas, Estados Unidos y el Reino Unido, en la moda tradicional del ciberespionaje. El grupo, que se cree que está respaldado por el gobierno de Vietnam, en 2014 pirateó a una empresa europea que planeaba construir una planta de fabricación en Vietnam, así como a un desarrollador de hospitalidad en 2016 que buscaba hacer negocios en Vietnam.

Opsec Game on Issue
El malware realiza las tareas habituales de espionaje, recopilando información de geolocalización, registros de llamadas, listas de contactos y mensajes SMS, así como información sobre el dispositivo de la víctima, como el modelo, el sistema operativo y las aplicaciones instaladas. «Pero vemos que también tiene la capacidad de ejecutar comandos especiales de shell desde el servidor (C2) y descargar cargas útiles adicionales en el dispositivo de la víctima», explica Firsh.

Otra táctica empleada por los atacantes: crear un perfil de desarrollador falso en GitHub para aparecer como un desarrollador de aplicaciones legítimo. «Creo que la razón principal por la que tienen esas cuentas es para comenzar historias de fondo para que los desarrolladores parezcan más legítimos a los moderadores de los mercados», explica Lev Pikman, un investigador de Kaspersky que trabajó con Firsh en el Investigación PhantomLance.

Firsh dice que el grupo de ataque emplea diferentes claves de cifrado, infraestructuras separadas y otros métodos para cubrir sus huellas. «Son bastante buenos en opsec», dice.

Si bien defenderse contra un estado-nación no es tan easy, la mejor opción es tener una herramienta o servicio de seguridad móvil para dispositivos y desconfiar de las aplicaciones que descarga, dicen los expertos.

Los investigadores presentaron sus hallazgos en la Cumbre de analistas de seguridad en línea de Kaspersky hoy, que fue iniciada por Eugene Kaspersky, fundador y CEO de Kaspersky, quien citó un aumento en la actividad maliciosa en línea desde que gran parte del mundo entró en cuarentena por quedarse en casa debido a la pandemia de COVID-19. «Ahora (los atacantes) tienen muchas más oportunidades para hacer sus negocios», dijo Kaspersky. «Hemos visto un aumento del 10% en el nuevo malware que recolectamos … En algunas naciones específicas, vemos … más intentos de ataque».

Contenido relacionado:

Echa un vistazo a The Edge, la nueva sección de Dark Reading para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «5 maneras de demostrar el valor de la seguridad en la period de COVID-19.

Kelly Jackson Higgins es la Editora Ejecutiva de Dark Reading. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Community Computing, Secure Enterprise … Ver biografía completa

Más concepts





Enlace a la noticia authentic