PhantomLance, un troyano en Google Play

Los expertos de Kaspersky descubrieron al PhantomLance, un troyano de puerta trasera, en Google Play.

En julio pasado, nuestros colegas de Doctor Web detectaron un troyano de puerta trasera en Google Play. Dichos descubrimientos no son exactamente cosa de todos los días, pero tampoco es que no se les conozca; los investigadores encuentran troyanos en Google Play, a veces por centenares.

Este troyano, sin embargo, era increíblemente sofisticado para el malware que se encuentra en Google Play, así que nuestros expertos decidieron indagar más. Realizaron su propia investigación y hallaron que el malware es parte de una campaña maliciosa (que hemos denominado PhantomLance) y que ha ido en marcha desde enero de 2015.

Qué puede hacer PhantomLance

Nuestros expertos detectaron varias versiones de PhantomLance. A pesar de su creciente complejidad y las diferencias en el tiempo de aparición, son bastante similares en términos de capacidades.

El objetivo principal del troyano PhantomLance es recopilar información confidencial del dispositivo de la víctima. El malware es capaz de entregarle a sus operarios los datos de localización, registros de llamada, mensajes de texto, listas de aplicaciones instaladas e información completa acerca del smartphone infectado. Además, su funcionalidad puede expandirse en todo momento simplemente al cargar módulos adicionales desde el servidor del C&C (centro de comando y control, por sus siglas en inglés).

 

Distribución del PhantomLance

Google Play es la plataforma de distribución principal del malware. También se encuentra en repositorios de terceros, pero la mayor parte son solamente reflejos de la tienda oficial de aplicaciones de Google.

Podemos afirmar que las aplicaciones infectadas con una versión del troyano empezaron a aparecer en la tienda en el verano de 2018. Se encontró al malware escondido en herramientas para cambiar fuentes, eliminar publicidad, dar mantenimiento al sistema y demás.

Una aplicación de Google Play en la que se encontró la puerta trasera PhantomLance

Una aplicación de Google Play en la que se encontró la puerta trasera PhantomLance.

 

Desde entonces, se retiraron de Google Play las aplicaciones que contenían PhantomLance, desde luego, pero las copias aún pueden encontrarse en sitios reflejados. Lo irónico del asunto es que algunos de sitios reflejados señalan que el paquete de instalación de PhantomLance se descargaba directamente desde Google Play y, por lo tanto, se afirmaba que estaba libre de virus.

¿Cómo es que los cibercriminales lograron introducir su malware en la tienda oficial de Google? En primer lugar, con el fin de añadirle autenticidad, los atacantes crearon un perfil en GitHub para cada desarrollador. Estos perfiles poseían solamente una suerte de contrato de licencia. Sin embargo, tener un perfil en GitHub al parecer les otorga respetabilidad a los desarrolladores.

En segundo lugar, las aplicaciones que los creadores de PhantomLance subieron al principio a la tienda no eran maliciosas. Las primeras versiones de los programas no contenían ninguna característica sospechosa y, por lo tanto, pasaron con éxito las revisiones de Google Play. Solo después de un tiempo, con las actualizaciones, las aplicaciones adquieren funciones maliciosa, como el robo de datos.

 

Objetivos de PhantomLance

A juzgar por la geografía de su diseminación, así como la presencia de versiones vietnamitas de aplicaciones maliciosas en tiendas online, creemos que los objetivos principales de los desarrolladores de PhantomLance eran los usuarios de Vietnam.

Por otra parte, nuestros expertos detectaron un número de funciones que relacionaban a PhantomLance con el grupo OceanLotus, responsable de la creación de una variedad de malware también dirigido contra usuarios de Vietnam.

El conjunto de herramientas malware de OceanLotus analizadas anteriormente incluye a la familia de puertas traseras de macOS, una familia de puertas traseras de Windows y un conjunto de troyanos de Android, cuya actividad se detectó en 2014–2017. Nuestros expertos llegaron a la conclusión de que PhantomLance sucedió a los troyanos de Android antes mencionados desde 2016.

PhantomLance está relacionado con otras armas malware de OceanLotus

PhantomLance está relacionado con otras armas malware de OceanLotus.

 

Cómo defenderte de PhantomLance

Uno de los consejos que reiteramos en nuestras publicaciones acerca del malware de Android es “Instala aplicaciones solamente de Google Play”, pero PhantomLance demuestra de nuevo que el malware puede en ocasiones engañar incluso a los gigantes del internet.

Google toma medidas rigurosas para mantener segura y libre de malware su tienda de aplicaciones (de otro modo, encontraríamos software malicioso más seguido), pero las capacidades de la empresa no son infinitas y los atacantes son ingeniosos. Por lo tanto, el simple hecho de que una aplicación esté en Google Play no garantiza que sea segura. Considera siempre otros factores para evitar ser víctima de troyanos en Android:

  • Da preferencia a las aplicaciones de desarrolladores de confianza.
  • Presta atención a las calificaciones de las aplicaciones y las reseñas de los usuarios.
  • Revisa con cuidado los permisos solicitados por una aplicación y no dudes en rechazar si te parecen que piden demasiado. Por ejemplo, una aplicación sobre el clima no necesita acceso a tus contactos y mensajes; de la misma manera, un filtro fotográfico no necesita saber tu ubicación.
  • Escanea las aplicaciones que instalas en tu dispositivo Android con una solución de seguridad confiable.

Para obtener información más técnica acerca de PhantomLance, consulta el informe exhaustivo de nuestros expertos en Securelist.

 

Consejos