PhantomLance: una sofisticada campaña de espionaje para Android activa en el sureste asiático

11 mayo, 2020
5 Compartido 1,273 Visualizaciones

Sofisticada campaña maliciosa dirigida a usuarios de dispositivos Android, y atribuible al actor de amenazas persistentes avanzadas OceanLotus.

Denominada PhantomLance, la campaña ha estado activa al menos desde 2015 y sigue en curso, presentando múltiples versiones de un complejo software espía – creado para recoger los datos de las víctimas- y tácticas de distribución inteligentes, incluyendo la distribución a través de docenas de aplicaciones disponibles en la tienda oficial de Google Play.

En julio de 2019, investigadores de seguridad informaron de una nueva muestra de software espía encontrada en Google Play. El informe atrajo la atención de Kaspersky debido a sus inesperadas características – su nivel de sofisticación y comportamiento era muy diferente a los troyanos habituales que se suelen subir a las tiendas oficiales de aplicaciones. Los investigadores de Kaspersky fueron capaces de encontrar otra muestra muy similar de este malware en Google Play. Por lo general, si los creadores de malware logran subir una aplicación maliciosa en la tienda de aplicaciones legítima, invierten considerables recursos en la promoción de la aplicación para aumentar el número de instalaciones y así aumentar el número de víctimas. Este no fue el caso de estas aplicaciones maliciosas recién descubiertas. Parecía que los operadores que estaban detrás de ellas no estaban interesados en la difusión masiva. Para los investigadores, esto era un indicio de actividad de APT dirigida. Investigaciones adicionales permitieron descubrir varias versiones de este malware con docenas de muestras, conectadas por múltiples similitudes de código. 

La funcionalidad de todas las muestras era similar – el principal propósito del spyware era reunir información. Aunque la funcionalidad básica no era muy amplia, e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de aplicaciones instaladas, así como información sobre los dispositivos, tales como el modelo y la versión del sistema operativo. Además, el actor de la amenaza podía descargar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil para que fuera adecuada al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información necesaria.

Las investigaciones posteriores indicaron que PhantomLance se distribuía principalmente en diversas plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para que las aplicaciones parecieran legítimas, en casi todos los casos de despliegue de malware los actores de la amenaza trataron de crear un perfil de desarrollador falso creando una cuenta Github asociada. Con el fin de evadir los mecanismos de filtrado empleados por las tiendas de aplicaciones, las primeras versiones de la aplicación subidas por el actor de la amenaza a los mercados no contenían ninguna carga maliciosa. Sin embargo, en las actualizaciones posteriores, las aplicaciones incluían tanto cargas maliciosas como un código para soltar y ejecutar esas cargas.

Según Kaspersky Security Network, desde 2016 se han observado alrededor de 300 intentos de infección en dispositivos Android en países como la India, Vietnam, Bangladesh e Indonesia. Si bien las estadísticas de detección incluían las infecciones colaterales, Vietnam destacó como uno de los principales países por el número de intentos de ataque; algunas de las aplicaciones maliciosas utilizadas en la campaña también se hicieron exclusivamente en vietnamita.

Utilizando el motor de atribución de malware de Kaspersky -una herramienta interna para encontrar similitudes entre diferentes piezas de código malicioso- los investigadores pudieron determinar que las cargas útiles de PhantomLance eran al menos un 20% similares a las de una de las antiguas campañas de Android asociadas a OceanLotus, un actor que ha estado en funcionamiento desde al menos 2013 y cuyos objetivos se encuentran principalmente en el sudeste asiático. Además, se encontraron varias superposiciones importantes con actividades previamente reportadas de OceanLotus en Windows y MacOS. Así, los investigadores de Kaspersky creen que la campaña PhantomLance puede vincularse a OceanLotus con un nivel de certeza medio.

Kaspersky informó de todas las muestras descubiertas a los propietarios de las tiendas legítimas de aplicaciones. Google Play ha confirmado que han retirado las aplicaciones. 

«Esta campaña es un ejemplo claro de cómo los actores de amenazas avanzadas se están adentrando en aguas más profundas y se están volviendo más difíciles de encontrar. PhantomLance ha estado en marcha durante más de cinco años y los actores de la amenaza se las arreglaron para superar los filtros de las tiendas de aplicaciones en varias ocasiones, utilizando técnicas avanzadas para lograr sus objetivos. También podemos ver que el uso de las plataformas móviles como punto de infección primario se está haciendo más popular, con más y más actores. Estos avances subrayan la importancia de la mejora continua de la inteligencia sobre las amenazas y los servicios de ayuda, que podrían ayudar a rastrear a los actores de las amenazas y a encontrar coincidencias entre diversas campañas«, comenta Alexey Firsh, investigador de seguridad de GReAT de Kaspersky.

Para evitar ser víctima de ataques selectivos contra organizaciones o personas, Kaspersky recomienda lo siguiente:

Para los usuarios domésticos: 

  • Utilice una solución de seguridad fiable, para una protección completa contra una amplia gama de amenazas.

Para empresas:

  • Asegúrese de que su solución de seguridad para endpoint esté dotada de protección para dispositivos móviles. Debería permitir el control de aplicaciones para garantizar que sólo se puedan instalar aplicaciones legítimas en un dispositivo corporativo, así como una protección contra el rooting que permita bloquear dispositivos rooted o eliminar los datos corporativos almacenados en ellos. 
  • Proporcione a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre inteligencia de amenazas y manténgase al día con las herramientas, técnicas y tácticas nuevas y emergentes que utilizan los actores de las amenazas y los ciberdelincuentes.
  • Para la detección a nivel del endpoint, la investigación y la remediación de incidentes, implemente soluciones EDR.
  • Además de adoptar una protección esencial del endpoint, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas a nivel de red en una fase temprana.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

El 60% de los empleados ha perdido algún dispositivo de almacenamiento con datos corporativos en el último año
Actualidad
6 compartido1,127 visualizaciones
Actualidad
6 compartido1,127 visualizaciones

El 60% de los empleados ha perdido algún dispositivo de almacenamiento con datos corporativos en el último año

Alicia Burrueco - 26 noviembre, 2019

  A lo largo de la última década se ha instaurado una estrategia de trabajo BYOD, enfocada en potenciar la…

España sigue siendo el país europeo con mayor incidencia de malware financiero en 2020
Actualidad
6 compartido1,240 visualizaciones
Actualidad
6 compartido1,240 visualizaciones

España sigue siendo el país europeo con mayor incidencia de malware financiero en 2020

Aina Pou Rodríguez - 16 abril, 2021

Según el informe de Kaspersky “Ciberamenazas financieras en 2020”, el panorama de las amenazas financieras también ha experimentado cambios en…

Se aproxima una oleada de ciberataques usando el Internet de las Cosas
IoT
897 visualizaciones
IoT
897 visualizaciones

Se aproxima una oleada de ciberataques usando el Internet de las Cosas

José Luis - 29 enero, 2018

Se está formando una botnet masiva para crear una ciber-tormenta que podría acabar con Internet. Nuevas nubes cibernéticas se están…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.