{"id":18620,"date":"2020-05-06T10:43:02","date_gmt":"2020-05-06T16:43:02","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=18620"},"modified":"2020-05-06T10:43:02","modified_gmt":"2020-05-06T16:43:02","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/phantomlance-android-backdoor-trojan\/18620\/","title":{"rendered":"PhantomLance, un troyano en Google Play"},"content":{"rendered":"

En julio pasado, nuestros colegas de Doctor Web detectaron<\/a><\/strong> un troyano de puerta trasera<\/a><\/strong> en Google Play. Dichos descubrimientos no son exactamente cosa de todos los d\u00edas, pero tampoco es que no se les conozca; los investigadores encuentran troyanos<\/a><\/strong> en Google Play<\/a><\/strong>, a veces por centenares.<\/p>\n

Este troyano, sin embargo, era incre\u00edblemente sofisticado para el malware<\/em><\/strong> que se encuentra en Google Play, as\u00ed que nuestros expertos decidieron indagar m\u00e1s. Realizaron su propia investigaci\u00f3n<\/a><\/strong> y hallaron que el malware<\/em><\/strong> es parte de una campa\u00f1a maliciosa<\/strong> (que hemos denominado PhantomLance<\/a><\/strong>) y que ha ido en marcha desde enero de 2015.<\/p>\n

Qu\u00e9 puede hacer PhantomLance<\/h2>\n

Nuestros expertos detectaron varias versiones de PhantomLance<\/strong>. A pesar de su creciente complejidad y las diferencias en el tiempo de aparici\u00f3n, son bastante similares en t\u00e9rminos de capacidades.<\/p>\n

El objetivo principal del troyano PhantomLance<\/strong> es recopilar informaci\u00f3n confidencial<\/a><\/strong> del dispositivo de la v\u00edctima. El malware<\/em><\/strong> es capaz de entregarle a sus operarios los datos de localizaci\u00f3n, registros de llamada, mensajes de texto, listas de aplicaciones instaladas e informaci\u00f3n completa acerca del smartphone infectado<\/a><\/em><\/strong>. Adem\u00e1s, su funcionalidad puede expandirse en todo momento simplemente al cargar m\u00f3dulos adicionales desde el servidor del C&C<\/strong> (centro de comando y control, por sus siglas en ingl\u00e9s).<\/p>\n

\u00a0<\/p>\n

Distribuci\u00f3n del PhantomLance<\/h2>\n

Google Play<\/strong> es la plataforma de distribuci\u00f3n principal del malware<\/em><\/strong>. Tambi\u00e9n se encuentra en repositorios de terceros, pero la mayor parte son solamente reflejos de la tienda oficial de aplicaciones<\/a><\/strong> de Google.<\/p>\n

Podemos afirmar que las aplicaciones<\/strong> infectadas<\/strong> con una versi\u00f3n del troyano<\/a><\/strong> empezaron a aparecer en la tienda en el verano de 2018. Se encontr\u00f3 al malware<\/em><\/strong> escondido en herramientas para cambiar fuentes<\/a><\/strong>, eliminar publicidad, dar mantenimiento al sistema y dem\u00e1s.<\/p>\n

\"Una

Una aplicaci\u00f3n de Google Play en la que se encontr\u00f3 la puerta trasera PhantomLance.<\/p><\/div>\n

\u00a0<\/p>\n

Desde entonces, se retiraron de Google Play las aplicaciones que conten\u00edan PhantomLance<\/strong>, desde luego, pero las copias a\u00fan pueden encontrarse en sitios reflejados. Lo ir\u00f3nico del asunto es que algunos de sitios reflejados se\u00f1alan que el paquete de instalaci\u00f3n de PhantomLance se descargaba directamente desde Google Play y, por lo tanto, se afirmaba que estaba libre de virus<\/strong>.<\/p>\n

\u00bfC\u00f3mo es que los cibercriminales<\/strong> lograron introducir su malware<\/em><\/strong> en la tienda oficial de Google<\/strong>? En primer lugar, con el fin de a\u00f1adirle autenticidad, los atacantes crearon un perfil en GitHub<\/a><\/strong> para cada desarrollador. Estos perfiles pose\u00edan solamente una suerte de contrato de licencia. Sin embargo, tener un perfil en GitHub<\/strong> al parecer les otorga respetabilidad a los desarrolladores.<\/p>\n

En segundo lugar, las aplicaciones que los creadores de PhantomLance<\/strong> subieron al principio a la tienda no eran maliciosas<\/strong>. Las primeras versiones de los programas no conten\u00edan ninguna caracter\u00edstica sospechosa y, por lo tanto, pasaron con \u00e9xito las revisiones de Google Play<\/strong>. Solo despu\u00e9s de un tiempo, con las actualizaciones<\/strong>, las aplicaciones adquieren funciones maliciosa<\/strong>, como el robo de datos<\/a><\/strong>.<\/p>\n

\u00a0<\/p>\n

Objetivos de PhantomLance<\/h2>\n

A juzgar por la geograf\u00eda de su diseminaci\u00f3n, as\u00ed como la presencia de versiones vietnamitas de aplicaciones maliciosas<\/strong> en<\/strong> tiendas online<\/em><\/strong>, creemos que los objetivos principales de los desarrolladores de PhantomLance<\/strong> eran los usuarios de Vietnam.<\/p>\n

Por otra parte, nuestros expertos detectaron un n\u00famero de funciones que relacionaban a PhantomLance<\/strong> con el grupo OceanLotus<\/strong>, responsable de la creaci\u00f3n de una variedad de malware<\/em> tambi\u00e9n dirigido contra usuarios de Vietnam.<\/p>\n

El conjunto de herramientas malware<\/em><\/strong> de OceanLotus<\/strong> analizadas anteriormente incluye a la familia de puertas traseras de macOS<\/strong>, una familia de puertas traseras de Windows<\/a><\/strong> y un conjunto de troyanos de Android<\/strong>, cuya actividad se detect\u00f3 en 2014\u20132017. Nuestros expertos llegaron a la conclusi\u00f3n de que PhantomLance sucedi\u00f3 a los troyanos de Android<\/a><\/strong> antes mencionados desde 2016.<\/p>\n

\"PhantomLance

PhantomLance est\u00e1 relacionado con otras armas malware de OceanLotus.<\/p><\/div>\n

\u00a0<\/p>\n

C\u00f3mo defenderte de PhantomLance<\/h2>\n

Uno de los consejos que reiteramos en nuestras publicaciones acerca del malware<\/em><\/strong> de Android<\/strong> es \u201cInstala aplicaciones solamente de Google Play\u201d, pero PhantomLance<\/strong> demuestra de nuevo que el malware<\/em> puede en ocasiones enga\u00f1ar incluso a los gigantes del internet.<\/p>\n

Google toma medidas rigurosas para mantener segura<\/strong> y libre de malware<\/em><\/strong> su tienda de aplicaciones<\/strong> (de otro modo, encontrar\u00edamos software<\/em><\/strong> malicioso<\/strong> m\u00e1s seguido), pero las capacidades de la empresa no son infinitas y los atacantes son ingeniosos. Por lo tanto, el simple hecho de que una aplicaci\u00f3n est\u00e9 en Google Play no garantiza que sea segura. Considera siempre otros factores para evitar ser v\u00edctima de troyanos en Android:<\/p>\n