La compañía de ciberseguridad Kaspersky ha descubierto una campaña de espionaje especialmente sofisticada, denominada PhantomLance, que ha afectado a móviles Android en países del sureste asiático y que se distribuye de forma inteligente a través de docenas de aplicaciones de Google Play que se actualizaban con ‘malware’ y lo modificaban según el dispositivo o el sistema.
PhantomLance ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo software espía creado para recoger los datos de las víctimas, según ha informado Kaspersky en un comunicado remitido a Europa Press.
Esta amenaza destaca especialmente por sus métodos de distribución inteligente a través de docenas de aplicaciones aparentemente legítimas publicadas en Google Play y APKpure.
Los atacantes crearon perfiles de desarrolladores falsos con cuentas de GitHub asociadas para lanzar aplicaciones sin levantar sospechas y no ser suspendidas por los mecanismos de seguridad de las plataformas. Estas eran inicialmente inofensivas, pero después las actualizaron con ‘malware’ espía.
Espionaje incluye geolocalización
El principal propósito del ‘spyware’ es reunir información de los móviles Android, lo que incluye geolocalización, registros de llamadas, acceso a contactos y acceso a SMS. Las aplicaciones maliciosas de PhantomLance también pueden recopilar una lista de aplicaciones instaladas, así como el modelo de móvil y la versión del sistema operativo.
Además, el atacante puede descargar y ejecutar varias cargas útiles maliciosas para adaptarse al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.
Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como India, Bangladesh, Indonesia y Vietnam, y algunas de estas apps se encontraban solo en vietnamita como idioma. La campaña presenta un 20 por ciento de puntos en común con otras del actor malicioso OceanLotus, centrado en el sudeste asiático.
Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas de aplicaciones, y Google Play ya ha confirmado que se han retirado las aplicaciones maliciosas de su plataforma.
PROCESO
