OhMyGeek!
Seguridad

Por más de 5 años «PhantomLance» ha atacado dispositivos con Android para espiarlos

Una campaña maliciosa y compleja para Android ha sido seguida de cerca por Kaspersky. ¿Su nombre? «PhantomLance», de la cual se cree que ha estado activa por lo menos desde 2015, pero el año pasado esta compañí­a de seguridad la observa cuando otros investigadores dieron con ella en falsas aplicaciones colgadas dentro de la Google Play Store.

Durante julio de 2019, se informó de distintas Apps de spyware que tení­an un nivel de complejidad y comportamiento muy diferentes a los troyanos comunes que normalmente se suben a las tiendas de aplicaciones oficiales.

La funcionalidad de todas las muestras era similar: el objetivo principal del spyware era recopilar información. Si bien la funcionalidad básica no era muy amplia e incluí­a geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podí­a recopilar una lista de apps instaladas, así­ como la información del dispositivo, como el modelo y la versión del sistema operativo.

Además podí­a bajar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil que serí­a adecuada para el entorno especí­fico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta forma, el agente podí­a evitar sobrecargar la app con caracterí­sticas innecesarias y al mismo tiempo, recopilar la información necesaria.

PhantomLance.

Otra investigación indicó que PhantomLance fue distribuida principalmente en plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para hacer que las aplicaciones parezcan legí­timas, en casi todos los casos de implementación del malware los agentes de la amenaza intentaron construir un perfil falso del programador mediante la creación de una cuenta Github relacionada.

Lee:  Usan IA para saber cuánto carbono capturan los árboles e identificar dónde plantar más

Y para evadir los mecanismos de filtrado que emplean los mercados, las primeras versiones de la aplicación subidas a los mercados por el agente de amenaza no contení­an ninguna carga maliciosa. Sin embargo, con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un código para instalarlas y ejecutarlas.

Kaspersky reportó todas las muestras descubiertas a los propietarios de tiendas de apps legí­timas. Google Play ha confirmado que ha eliminado esas aplicaciones.

Te interesará ver

Estas son las estafas online más usadas con relación a los Juegos Olímpicos

OhMyGeek!

AuraSearch: conoce más sobre este odioso Adware de Mac

Colaborador OhMyGeek!

La popularidad de la película ‘Black Widow’ ha sido idónea para generar estafas online

OhMyGeek!

Estas son las estafas más comunes en Facebook según expertos informáticos

OhMyGeek!

El spoofing de correo electrónico casi se duplicó entre abril y mayo

OhMyGeek!

¿Qué debes saber sobre la autenticación de múltiples factores?

Colaborador OhMyGeek!

Deja un comentario

También compártelo en:
Send this to a friend