OhMyGeek!
Seguridad

Por más de 5 años «PhantomLance» ha atacado dispositivos con Android para espiarlos

Una campaña maliciosa y compleja para Android ha sido seguida de cerca por Kaspersky. ¿Su nombre? «PhantomLance», de la cual se cree que ha estado activa por lo menos desde 2015, pero el año pasado esta compañí­a de seguridad la observa cuando otros investigadores dieron con ella en falsas aplicaciones colgadas dentro de la Google Play Store.

Durante julio de 2019, se informó de distintas Apps de spyware que tení­an un nivel de complejidad y comportamiento muy diferentes a los troyanos comunes que normalmente se suben a las tiendas de aplicaciones oficiales.

La funcionalidad de todas las muestras era similar: el objetivo principal del spyware era recopilar información. Si bien la funcionalidad básica no era muy amplia e incluí­a geolocalización, registros de llamadas, acceso a contactos y acceso a SMS, la aplicación también podí­a recopilar una lista de apps instaladas, así­ como la información del dispositivo, como el modelo y la versión del sistema operativo.

Además podí­a bajar y ejecutar varias cargas útiles maliciosas y, por lo tanto, adaptar la carga útil que serí­a adecuada para el entorno especí­fico del dispositivo, como la versión de Android y las aplicaciones instaladas. De esta forma, el agente podí­a evitar sobrecargar la app con caracterí­sticas innecesarias y al mismo tiempo, recopilar la información necesaria.

PhantomLance.

Otra investigación indicó que PhantomLance fue distribuida principalmente en plataformas y mercados, incluidos, entre otros, Google Play y APKpure. Para hacer que las aplicaciones parezcan legí­timas, en casi todos los casos de implementación del malware los agentes de la amenaza intentaron construir un perfil falso del programador mediante la creación de una cuenta Github relacionada.

Lee:  Descubren malware publicitario en la App de la tienda APKPure

Y para evadir los mecanismos de filtrado que emplean los mercados, las primeras versiones de la aplicación subidas a los mercados por el agente de amenaza no contení­an ninguna carga maliciosa. Sin embargo, con actualizaciones posteriores, las aplicaciones recibieron cargas maliciosas y un código para instalarlas y ejecutarlas.

Kaspersky reportó todas las muestras descubiertas a los propietarios de tiendas de apps legí­timas. Google Play ha confirmado que ha eliminado esas aplicaciones.

Te interesará ver

«Judas y el mesías negro» es la película más usada para distribuir malware previo a los Oscar

OhMyGeek!

Descubren malware publicitario en la App de la tienda APKPure

OhMyGeek!

Falsa versión de Clubhouse robó acceso de otras 450 Apps

OhMyGeek!

¿Cómo mantener seguro tu canal de YouTube según Google?

OhMyGeek!

iPadOS y iOS 14.4: actualicen inmediatamente porque hay 3 fallas que hackers estarí­an aprovechando

OhMyGeek!

Phishing en Facebook te pide dar ‘Me gusta‘ a una foto para robar tus credenciales

OhMyGeek!

Deja un comentario

También compártelo en:
Send this to a friend