{"id":18541,"date":"2020-04-29T12:07:49","date_gmt":"2020-04-29T18:07:49","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18541"},"modified":"2020-08-03T06:45:01","modified_gmt":"2020-08-03T12:45:01","slug":"phantomlance-sofisticada-campana-de-espionaje-para-android","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/phantomlance-sofisticada-campana-de-espionaje-para-android\/18541\/","title":{"rendered":"PhantomLance: Sofisticada campa\u00f1a de espionaje para Android"},"content":{"rendered":"

En julio de 2019, otros investigadores de seguridad informaron<\/a> acerca de una nueva muestra de spyware encontrada en Google Play. El informe atrajo la atenci\u00f3n de Kaspersky debido a sus caracter\u00edsticas inesperadas, pues su nivel de complejidad y comportamiento eran muy diferentes de los troyanos comunes que generalmente se suben a las tiendas de aplicaciones oficiales. Los investigadores de Kaspersky pudieron encontrar otra muestra muy similar de este malware en Google Play. Por lo general, si los creadores de malware logran subir una aplicaci\u00f3n maliciosa a la tienda de aplicaciones leg\u00edtima, invierten recursos considerables en promover la aplicaci\u00f3n para aumentar el n\u00famero de instalaciones y, por lo tanto, aumentar el n\u00famero de v\u00edctimas. Este no fue el caso con estas aplicaciones maliciosas reci\u00e9n descubiertas. Parec\u00eda que los operadores detr\u00e1s de ellas no estaban interesados en la difusi\u00f3n masiva. Para los investigadores, esto era un indicio de actividad APT dirigida. Investigaciones adicionales permitieron descubrir m\u00faltiples versiones de este malware con docenas de muestras, conectadas por varias similitudes de c\u00f3digo.<\/p>\n

La funcionalidad de todas las muestras era similar: el objetivo principal del spyware era recopilar informaci\u00f3n. Si bien la funcionalidad b\u00e1sica no era muy amplia e inclu\u00eda geolocalizaci\u00f3n, registros de llamadas, acceso a contactos y acceso a SMS, la aplicaci\u00f3n tambi\u00e9n pod\u00eda recopilar una lista de aplicaciones instaladas, as\u00ed como la informaci\u00f3n del dispositivo, como el modelo y la versi\u00f3n del sistema operativo. Adem\u00e1s, el agente de la amenaza pod\u00eda bajar y ejecutar varias cargas \u00fatiles maliciosas y, por lo tanto, adaptar la carga \u00fatil que ser\u00eda adecuada para el entorno espec\u00edfico del dispositivo, como la versi\u00f3n de Android y las aplicaciones instaladas. De esta forma, el agente pod\u00eda evitar sobrecargar la aplicaci\u00f3n con caracter\u00edsticas innecesarias y al mismo tiempo, recopilar la informaci\u00f3n necesaria.<\/p>\n

Otra investigaci\u00f3n indic\u00f3 que PhantomLance fue distribuida principalmente en varias plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para hacer que las aplicaciones parezcan leg\u00edtimas, en casi todos los casos de implementaci\u00f3n del malware los agentes de la amenaza intentaron construir un perfil falso del programador mediante la creaci\u00f3n de una cuenta Github relacionada. Para evadir los mecanismos de filtrado que emplean los mercados, las primeras versiones de la aplicaci\u00f3n subidas a los mercados por el agente de amenaza no conten\u00edan ninguna carga maliciosa. Sin embargo, con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un c\u00f3digo para instalarlas y ejecutarlas.<\/p>\n

Seg\u00fan Kaspersky Security Network, desde 2016, se observaron alrededor de 300 intentos de infecci\u00f3n en dispositivos Android en pa\u00edses como India, Vietnam, Bangladesh e Indonesia. Aunque las estad\u00edsticas de detecci\u00f3n inclu\u00edan infecciones colaterales, Vietnam se destac\u00f3 como uno de los principales pa\u00edses por la cantidad de intentos de ataques; algunas de las aplicaciones maliciosas utilizadas en la campa\u00f1a tambi\u00e9n se hicieron exclusivamente en idioma vietnamita.<\/p>\n

Utilizando el motor de atribuci\u00f3n de malware de Kaspersky, una herramienta interna para encontrar similitudes entre diferentes piezas de c\u00f3digo malicioso, los investigadores pudieron determinar que las cargas \u00fatiles de PhantomLance eran al menos un 20% similares a las de una de las campa\u00f1as de Android m\u00e1s antiguas relacionadas con OceanLotus, un agente que ha estado en funcionamiento desde al menos 2013 y cuyos objetivos se encuentran principalmente en el sudeste asi\u00e1tico. Adem\u00e1s, se encontraron varios traslapes importantes con actividades de OceanLotus en Windows y MacOS dadas a conocer anteriormente. Por lo tanto, los investigadores de Kaspersky creen, con una confianza media, que la campa\u00f1a PhantomLance se puede vincular a OceanLotus.<\/p>\n

Kaspersky report\u00f3 todas las muestras descubiertas a los propietarios de tiendas de apps leg\u00edtimas. Google Play ha confirmado que ha eliminado esas aplicaciones.<\/p>\n

\u201cEsta campa\u00f1a es un excelente ejemplo de c\u00f3mo los agentes de amenazas avanzadas se est\u00e1n moviendo en aguas m\u00e1s profundas y cada vez son m\u00e1s dif\u00edciles de encontrar. PhantomLance ha estado funcionando durante m\u00e1s de cinco a\u00f1os y los agentes de esa amenaza lograron evitar los filtros de las tiendas de aplicaciones varias veces, utilizando t\u00e9cnicas avanzadas para lograr sus objetivos. Tambi\u00e9n podemos ver que el uso de plataformas m\u00f3viles como punto de infecci\u00f3n primario se est\u00e1 volviendo m\u00e1s popular, con m\u00e1s y m\u00e1s agentes avanzando en esta \u00e1rea. Estos acontecimientos subrayan la importancia de contar siempre con una mejor informaci\u00f3n de inteligencia de amenazas y servicios de asistencia para ayudar a rastrear los agentes de amenazas y encontrar traslapes entre varias campa\u00f1as\u201d, comenta Alexey Firsh, investigador de seguridad en GReAT de Kaspersky.<\/p>\n

El informe completo sobre la campa\u00f1a PhantomLance est\u00e1 disponible en Securelist<\/a>.<\/p>\n

Para evitar ser v\u00edctima de ataques dirigidos contra organizaciones o personas, Kaspersky recomienda lo siguiente:<\/strong><\/p>\n

Consumidores:<\/strong><\/p>\n