Seguridad

Por más de 5 años «PhantomLance» ha atacado dispositivos con Android para espiarlos

Una campaña maliciosa y compleja para Android ha sido seguida de cerca por Kaspersky. ¿Su nombre? «PhantomLance», de la cual se cree que ha estado activa por lo menos desde 2015, pero el año pasado esta compañía de seguridad la observa cuando otros investigadores dieron con ella en falsas aplicaciones colgadas dentro de la Google Play Store.

Durante julio de 2019, se informó de distintas Apps de spyware que tenían un nivel de complejidad y comportamiento muy diferentes a los troyanos comunes que normalmente se suben a las tiendas de aplicaciones oficiales.

La funcionalidad de todas las muestras era similar: el objetivo principal del spyware era recopilar información. Si bien la funcionalidad básica no era muy amplia e incluía geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podía recopilar una lista de apps instaladas, así como la información del dispositivo, como el modelo y la versión del sistema operativo.

Además podía bajar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil que sería adecuada para el entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta forma, el agente podía evitar sobrecargar la app con características innecesarias y al mismo tiempo, recopilar la información necesaria.

PhantomLance.

Otra investigación indicó que PhantomLance fue distribuida principalmente en plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para hacer que las aplicaciones parezcan legítimas, en casi todos los casos de implementación del malware los agentes de la amenaza intentaron construir un perfil falso del programador mediante la creación de una cuenta Github relacionada.

Lee:  Hackeo masivo en Twitter ataca a grandes cuentas como las de Uber, Apple, Elon Musk y Bill Gates

Y para evadir los mecanismos de filtrado que emplean los mercados, las primeras versiones de la aplicación subidas a los mercados por el agente de amenaza no contenían ninguna carga maliciosa. Sin embargo, con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un código para instalarlas y ejecutarlas.

Kaspersky reportó todas las muestras descubiertas a los propietarios de tiendas de apps legítimas. Google Play ha confirmado que ha eliminado esas aplicaciones.

Te interesará ver

Hackearon a «Zello» y la empresa pide a los usuarios crear nuevas contraseñas

Javier Troncoso

Netflix es la plataforma streaming que más usan como gancho para robar datos

OhMyGeek!

Advierten aumento de grooming (acoso pederasta) durante la cuarentena

OhMyGeek!

Grupo cibercriminal Winnti ataca a desarrolladores de videojuegos MMO

OhMyGeek!

Ofrecen falsos bonos de combustible en Shell por Whatsapp y todo es una estafa

OhMyGeek!

El 73% de quienes hacen teletrabajo no han recibido orientación en ciberseguridad

OhMyGeek!

Deja un comentario

También compártelo en:
Send this to a friend