En julio de 2019, investigadores de seguridad informaron de una nueva muestra de software espía encontrada en Google Play. El informe atrajo la atención de Kaspersky debido a sus inesperadas características - su nivel de sofisticación y comportamiento era muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Los investigadores de Kaspersky fueron capaces de encontrar otra muestra muy similar de este malware en Google Play. Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Este no fue el caso de estas aplicaciones maliciosas recién descubiertas. Parecía que los operadores que estaban detrás de ellas no estaban interesados en la difusión masiva. Para los investigadores, esto era un indicio de actividad de APT dirigida. Investigaciones adicionales permitieron descubrir varias versiones de este malware con docenas de muestras, conectadas por múltiples similitudes de código.
La funcionalidad de todas las muestras era similar - el principal propósito del spyware era reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo. Además, el actor de la amenaza podía descargar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil para que fuera adecuada al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.
Las investigaciones posteriores indicaron que PhantomLance se distribuía principalmente en diversas plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta Github asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.
Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como la India, Vietnam, Bangladesh e Indonesia. Si bien las estadísticas de detección incluían las infecciones colaterales, Vietnam destacó como uno de los principales países por el número de intentos de ataque; algunas de las aplicaciones maliciosas utilizadas en la campaña también se hicieron exclusivamente en vietnamita.
Utilizando el motor de atribución de malware de Kaspersky -una herramienta interna para encontrar similitudes entre diferentes piezas de código malicioso- los investigadores pudieron determinar que las cargas útiles de PhantomLance eran al menos un 20% similares a las de una de las antiguas campañas de Android asociadas a OceanLotus, un actor que ha estado en funcionamiento desde al menos 2013 y cuyos objetivos se encuentran principalmente en el sudeste asiático. Además, se encontraron varias superposiciones importantes con actividades previamente reportadas de OceanLotus en Windows y MacOS. Así, los investigadores de Kaspersky creen que la campaña PhantomLance puede vincularse a OceanLotus con un nivel de certeza medio.
Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas legítimas de aplicaciones. Google Play ha confirmado que han retirado las aplicaciones.
"Esta campaña es un ejemplo claro de cómo los actores de amenazas avanzadas se están adentrando en aguas más profundas y se están volviendo más difíciles de encontrar. PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas", comenta AlexeyFirsh, investigador de seguridad de GReAT de Kaspersky.
El informe completo de la campaña PhantomLance está disponible en Securelist.
Para evitar ser víctima de ataques selectivos contra organizaciones o personas, Kaspersky recomienda lo siguiente:
Para los usuarios domésticos:
Para empresas: