Facebook Linkedin Twitter Instagram Youtube Telegram

PhantomLance: una sofisticada campaña de espionaje para Android activa en el sureste asiático

Sofisticada campaña maliciosa dirigida a usuarios de dispositivos Android, y atribuible al actor de amenazas persistentes avanzadas OceanLotus.

Denominada PhantomLance, la campaña ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo software espía – creado para recoger los datos de las víctimas- y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en la tienda oficial de Google Play.

En julio de 2019, investigadores de seguridad informaron de una nueva muestra de software espía encontrada en Google Play. El informe atrajo la atención de Kaspersky debido a sus inesperadas características – su nivel de sofisticación y comportamiento era muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Los investigadores de Kaspersky fueron capaces de encontrar otra muestra muy similar de este malware en Google Play. Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Este no fue el caso de estas aplicaciones maliciosas recién descubiertas. Parecía que los operadores que estaban detrás de ellas no estaban interesados en la difusión masiva. Para los investigadores, esto era un indicio de actividad de APT dirigida. Investigaciones adicionales permitieron descubrir varias versiones de este malware con docenas de muestras, conectadas por múltiples similitudes de código. 

La funcionalidad de todas las muestras era similar – el principal propósito del spyware era reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo. Además, el actor de la amenaza podía descargar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil para que fuera adecuada al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.

Las investigaciones posteriores indicaron que PhantomLance se distribuía principalmente en diversas plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta Github asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.

Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como la India, Vietnam, Bangladesh e Indonesia. Si bien las estadísticas de detección incluían las infecciones colaterales, Vietnam destacó como uno de los principales países por el número de intentos de ataque; algunas de las aplicaciones maliciosas utilizadas en la campaña también se hicieron exclusivamente en vietnamita.

Utilizando el motor de atribución de malware de Kaspersky -una herramienta interna para encontrar similitudes entre diferentes piezas de código malicioso- los investigadores pudieron determinar que las cargas útiles de PhantomLance eran al menos un 20% similares a las de una de las antiguas campañas de Android asociadas a OceanLotus, un actor que ha estado en funcionamiento desde al menos 2013 y cuyos objetivos se encuentran principalmente en el sudeste asiático. Además, se encontraron varias superposiciones importantes con actividades previamente reportadas de OceanLotus en Windows y MacOS. Así, los investigadores de Kaspersky creen que la campaña PhantomLance puede vincularse a OceanLotus con un nivel de certeza medio.

Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas legítimas de aplicaciones. Google Play ha confirmado que han retirado las aplicaciones. 

«Esta campaña es un ejemplo claro de cómo los actores de amenazas avanzadas se están adentrando en aguas más profundas y se están volviendo más difíciles de encontrar. PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas«, comenta Alexey Firsh, investigador de seguridad de GReAT de Kaspersky.

Para evitar ser víctima de ataques selectivos contra organizaciones o personas, Kaspersky recomienda lo siguiente:

Para los usuarios domésticos: 

  • Utilice una solución de seguridad fiable, para una protección completa contra una amplia gama de amenazas.

Para empresas:

  • Asegúrese de que su solución de seguridad para endpoint esté dotada de protección para dispositivos móviles. Debería permitir el control de aplicaciones para garantizar que sólo se puedan instalar aplicaciones legítimas en un dispositivo corporativo, así como una protección contra el rooting que permita bloquear dispositivos rooted o eliminar los datos corporativos almacenados en ellos. 
  • Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre inteligencia de amenazas y manténgase al día con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los actores de las amenazas y los ciberdelincuentes.
  • Para la detección a nivel del endpoint, la investigación y la remediación de incidentes, implemente soluciones EDR.
  • Además de adoptar una protección esencial del endpoint, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana.
Picture of Samuel Rodríguez

Samuel Rodríguez

Periodista. Al frente de Ecommerce News desde 2012. Inquieto. Por el camino he creado otros medios como @BigDataMagazine y @CybersecurityNews. Organizador de cientos de eventos profesionales. Ahora con un pie en Portugal y otro en México… Muy del @GetafeCF

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Las cookies y otras tecnologías similares son una parte esencial de cómo funciona nuestra web. El objetivo principal de las cookies es que tu experiencia de navegación sea más cómoda y eficiente y poder mejorar nuestros servicios y la propia web. Aquí podrás obtener toda la información sobre las cookies que utilizamos y podrás activar y/o desactivar las mismas de acuerdo con tus preferencias, salvo aquellas Cookies que son estrictamente necesarias para el funcionamiento de la web de CyberSecurityNews. Ten en cuenta que el bloqueo de algunas cookies puede afectar tu experiencia en la web y el funcionamiento de la misma. Al pulsar “Guardar cambios”, se guardará la selección de cookies que has realizado. Si no has seleccionado ninguna opción, pulsar este botón equivaldrá a rechazar todas las cookies. Para más información puedes visitar nuestra Políticas de Cookies. Podrás cambiar en cualquier momento tus preferencias de cookies pinchando en el enlace “Preferencias de cookies” situado en la parte inferior de nuestra web.