Una campaña maliciosa y compleja para Android ha sido seguida de cerca por Kaspersky. ¿Su nombre? «PhantomLance», de la cual se cree que ha estado activa por lo menos desde 2015, pero el año pasado esta compañía de seguridad la observa cuando otros investigadores dieron con ella en falsas aplicaciones colgadas dentro de la Google Play Store.
Durante julio de 2019, se informó de distintas Apps de spyware que tenían un nivel de complejidad y comportamiento muy diferentes a los troyanos comunes que normalmente se suben a las tiendas de aplicaciones oficiales.
La funcionalidad de todas las muestras era similar: el objetivo principal del spyware era recopilar información. Si bien la funcionalidad básica no era muy amplia e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de apps instaladas, así como la información del dispositivo, como el modelo y la versión del sistema operativo.
Además podía bajar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil que sería adecuada para el entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta forma, el agente podía evitar sobrecargar la app con características innecesarias y al mismo tiempo, recopilar la información necesaria.
Otra investigación indicó que PhantomLance fue distribuida principalmente en plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para hacer que las aplicaciones parezcan legítimas, en casi todos los casos de implementación del malware los agentes de la amenaza intentaron construir un perfil falso del programador mediante la creación de una cuenta Github relacionada.
Y para evadir los mecanismos de filtrado que emplean los mercados, las primeras versiones de la aplicación subidas a los mercados por el agente de amenaza no contenían ninguna carga maliciosa. Sin embargo, con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un código para instalarlas y ejecutarlas.
Kaspersky reportó todas las muestras descubiertas a los propietarios de tiendas de apps legítimas. Google Play ha confirmado que ha eliminado esas aplicaciones.
