Tecnología

PhantomLance: una sofisticada campaña de espionaje para Android activa en el sureste asiático

Miércoles 06 de mayo de 2020
Los investigadores de Kaspersky han detectado una sofisticada campaña maliciosa dirigida a usuarios de dispositivos Android, y atribuible al actor de amenazas persistentes avanzadas OceanLotus. id:58255

Denominada PhantomLance, la campaña ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo software espía - creado para recoger los datos de las víctimas- y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en la tienda oficial de Google Play.

En julio de 2019, investigadores de seguridad informaron de una nueva muestra de software espía encontrada en Google Play. El informe atrajo la atención de Kaspersky debido a sus inesperadas características - su nivel de sofisticación y comportamiento era muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Los investigadores de Kaspersky fueron capaces de encontrar otra muestra muy similar de este malware en Google Play. Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Este no fue el caso de estas aplicaciones maliciosas recién descubiertas. Parecía que los operadores que estaban detrás de ellas no estaban interesados en la difusión masiva. Para los investigadores, esto era un indicio de actividad de APT dirigida. Investigaciones adicionales permitieron descubrir varias versiones de este malware con docenas de muestras, conectadas por múltiples similitudes de código.

La funcionalidad de todas las muestras era similar - el principal propósito del spyware era reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo. Además, el actor de la amenaza podía descargar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil para que fuera adecuada al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.

Las investigaciones posteriores indicaron que PhantomLance se distribuía principalmente en diversas plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta Github asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.

Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como la India, Vietnam, Bangladesh e Indonesia. Si bien las estadísticas de detección incluían las infecciones colaterales, Vietnam destacó como uno de los principales países por el número de intentos de ataque; algunas de las aplicaciones maliciosas utilizadas en la campaña también se hicieron exclusivamente en vietnamita.

Utilizando el motor de atribución de malware de Kaspersky -una herramienta interna para encontrar similitudes entre diferentes piezas de código malicioso- los investigadores pudieron determinar que las cargas útiles de PhantomLance eran al menos un 20% similares a las de una de las antiguas campañas de Android asociadas a OceanLotus, un actor que ha estado en funcionamiento desde al menos 2013 y cuyos objetivos se encuentran principalmente en el sudeste asiático. Además, se encontraron varias superposiciones importantes con actividades previamente reportadas de OceanLotus en Windows y MacOS. Así, los investigadores de Kaspersky creen que la campaña PhantomLance puede vincularse a OceanLotus con un nivel de certeza medio.

Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas legítimas de aplicaciones. Google Play ha confirmado que han retirado las aplicaciones.

"Esta campaña es un ejemplo claro de cómo los actores de amenazas avanzadas se están adentrando en aguas más profundas y se están volviendo más difíciles de encontrar. PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas", comenta AlexeyFirsh, investigador de seguridad de GReAT de Kaspersky.

El informe completo de la campaña PhantomLance está disponible en Securelist.

Para evitar ser víctima de ataques selectivos contra organizaciones o personas, Kaspersky recomienda lo siguiente:

Para los usuarios domésticos:

  • Utilice una solución de seguridad fiable, como Kaspersky Security Cloud, para una protección completa contra una amplia gama de amenazas. La solución incorpora Kaspersky SecureConnection que evita que su actividad online sea rastreada, oculta su dirección IP y su ubicación, y transfiere sus datos a través de una VPN segura.

Para empresas:

  • Asegúrese de que su solución de seguridad para endpoint esté dotada de protección para dispositivos móviles, como Kaspersky Security for Mobile. Debería permitir el control de aplicaciones para garantizar que sólo se puedan instalar aplicaciones legítimas en un dispositivo corporativo, así como una protección contra el rooting que permita bloquear dispositivos rooted o eliminar los datos corporativos almacenados en ellos.
  • Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre inteligencia de amenazas y manténgase al día con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los actores de las amenazas y los ciberdelincuentes.
  • Para la detección a nivel del endpoint, la investigación y la remediación de incidentes, implemente soluciones EDR, como Kaspersky EndpointDetection and Response.
  • Además de adoptar una protección esencial del endpoint, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana, como Kaspersky Anti TargetedAttackPlatform.

TEMAS RELACIONADOS:

industria
malware
ciberseguridad

Noticias relacionadas

Mostrar comentarios +
IR A VERSIÓN COMPLETA
© Economía de Hoy 2024
Política de privacidad y cookies | Aviso Legal
https://www.economiadehoy.es/