La campaña de espionaje PhantomLance viola la seguridad de Google Perform


Kaspersky advirtió sobre una campaña en curso en la que las aplicaciones maliciosas alojadas por Google Enjoy están espiando y robando de manera encubierta los datos de los usuarios de Android.

El martes, investigadores de ciberseguridad dijeron que la campaña, denominada PhantomLance, ha estado activa durante al menos cuatro años y está en curso.

Según el equipo, «docenas» de aplicaciones maliciosas conectado a PhantomLance y que alberga un nuevo troyano se ha descubierto en Google Play, el repositorio oficial de aplicaciones móviles Android del gigante tecnológico. Además, también se han encontrado aplicaciones maliciosas en el sitio de descarga de APK APKpure.

En julio de 2019, el equipo de Doctor Net investigación publicada en un nuevo troyano enterrado en una aplicación en Google Enjoy que se hizo pasar por un complemento de OpenGL.

Una vez iniciada, la aplicación maliciosa simula una comprobación de nuevas versiones de OpenGL ES, pero en realidad instala una puerta trasera y comienza a filtrar información del usuario.

Kaspersky dice que se encontró una muestra related de este troyano en Google Engage in y su sofisticación, incluido el uso de altos niveles de encriptación y la capacidad de adaptar cargas maliciosas según el entorno del dispositivo móvil, sugiere que PhantomLance no es el trabajo de actores de amenazas corrientes.

El malware PhantomLance, del cual se han rastreado múltiples variaciones, tiene las funciones básicas del adware, como las funciones de exfiltración para robar información del usuario, incluidos registros de llamadas telefónicas, contactos, datos GPS, mensajes SMS e información del modelo del dispositivo y del sistema operativo.

Ver también: Google ahora exigirá que los anunciantes en línea proporcionen prueba de identidad y ubicación

El troyano puede construir una puerta trasera para transferir estos datos al servidor de comando y control (C2) del operador, así como implementar cargas maliciosas adicionales.

Kaspersky sospecha que un grupo de Amenaza Persistente Avanzada (APT) puede estar detrás de la campaña debido al cuidado de enmascarar sus huellas. En «casi todos los casos», dice el equipo, se crearon perfiles de desarrollador falsos con cuentas de GitHub asociadas, y para evitar la detección, la primera versión de cada aplicación cargada en Google Enjoy o APKpure no contenía código malicioso.

«Con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un código para descartar y ejecutar estas cargas», dice Kaspersky.

Se han rastreado aproximadamente 300 intentos de infección en dispositivos Android en países como India, Vietnam, Bangladesh e Indonesia desde 2016.

La atribución es a menudo una perspectiva difícil. Sin embargo, en el caso de PhantomLance, hay algunos indicadores de que el grupo APT OceanLotus, también conocido como APT32, está involucrado.

CNET: Las estafas de estímulo de coronavirus están aquí. Cómo identificar estos nuevos ataques en línea y de texto

Después de clasificar la base de código de las aplicaciones maliciosas, Kasperksy evaluó con «confianza media» que OceanLotus está detrás de las cargas útiles. Esto se debe a que al menos el 20% de la base de código es equivalent a los ataques cibernéticos y campañas anteriores de Android lanzados por el grupo, que también tiende a atacar a las víctimas en todo el sudeste asiático.

OceanLotus ha estado activo desde 2013 y se ha vinculado a campañas contra entidades que incluyen los gobiernos vietnamita y chino. Recientemente, se lanzó un nuevo ataque al Ministerio de Gestión de Emergencias de China en un intento por encontrar y robar datos relacionados con la pandemia de COVID-19.

Kaspersky ha informado de todas las aplicaciones maliciosas encontradas. Google los ha eliminado desde la tienda.

TechRepublic: Mil millones de certificados después, el loco sueño de Allow&#39s Encrypt para asegurar la net se está haciendo realidad

«PhantomLance ha estado funcionando durante más de cinco años y los actores de amenazas lograron evitar los filtros de las tiendas de aplicaciones varias veces, utilizando técnicas avanzadas para lograr sus objetivos», dice Alexey Firsh, investigador de Kaspersky. «También podemos ver que el uso de plataformas móviles como punto de infección primario se está volviendo más common».

ZDNet se ha comunicado con Google y se actualizará cuando recibamos una respuesta.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia primary