Grupo de hackers utilizó Google Play Store para difundir spyware durante años
Una campaña maliciosa denominada PhantomLance ha estado dirigida a usuarios de dispositivos Android con spyware integrado en aplicaciones. Estas aplicaciones fueron entregadas a través de múltiples plataformas, incluida Play Store de Google y tiendas de aplicaciones alternativas de Android como APKpure y APKCombo.
Según un informe publicado anteriormente por los investigadores de Kaspersky, PhantomLance se superpone con campañas anteriores dirigidas a Windows y macOS. Estas campañas son atribuidas a OceanLotus, un grupo avanzado de amenazas persistentes también rastreado como APT32 y se cree que está basado en Vietnam.
“[La] campaña ha estado activa desde al menos 2015 y todavía está en curso, presentando múltiples versiones de un spyware (software espía) complejo. Este software fue creado para recopilar datos de las víctimas y tácticas de distribución inteligente. Esta distribución inteligente incluía docenas de aplicaciones en la tienda oficial de Google Play “, Dice Kaspersky.
Centrado en recopilar y robar información
Los investigadores de Kaspersky descubrieron la campaña dirigida después de que Doctor Web publicó un informe sobre un nuevo troyano de puerta trasera que encontraron en Play Store. Este malware era mucho más complejo que el malware habitual utilizado por los ciberdelincuentes para robar información financiera y credenciales de los usuarios de Android. Esto en el sudeste de Asia.
Otros investigadores también publicaron un informe que describe la campaña de malware de Android en mayo de 2019, atribuyéndola al grupo de hacking OceanLotus.
Los investigadores de BlackBerry también descubrieron que el malware de OceanLotus se distribuía a través de Google Play Store durante 2019, imitando la campaña Operation OceanMobile. Publicaron sus hallazgos como parte del Informe de malware móvil de octubre de 2019 de BlackBerry.
“Es importante tener en cuenta que, según nuestras estadísticas de detección, la mayoría de los usuarios afectados por esta campaña estaban ubicados en Vietnam. Aquí se exceptúa un pequeño número de personas ubicadas en China”, dice Kaspersky.
Kaspersky descubrió más tarde muestras de malware similares en múltiples aplicaciones distribuidas en Play Store y vinculadas por los investigadores a la campaña PhantomLance. Esto fue una serie de ataques dirigidos a recolectar información que incluye geolocalización. Asimismo, registros de llamadas, contactos, mensajes de texto, lista de aplicaciones instaladas e información del dispositivo.
“Además, el atacante pudo descargar y ejecutar varios payloads maliciosos, y así adaptar el payload que sería adecuado para el entorno específico del dispositivo. Por ejemplo, la versión de Android y las aplicaciones instaladas”, se lee en el informe de Kaspersky.
“De esta manera, el actor pudo evitar sobrecargar la aplicación con características innecesarias y al mismo tiempo recopilar la información deseada”.
Distribuido a través de múltiples tiendas de Android
Entre las aplicaciones de Android que contienen muestras del malware PhantomLance, Kaspersky proporciona la siguiente lista de aplicaciones. Estas aplicaciones fueron distribuidas en Google y luego fueron eliminadas de la Play Store en noviembre de 2019.
| Nombre del paquete | Fecha de persistencia de Google Play |
| com.zimice.browserturbo | 2019-11-06 |
| com.physlane.opengl | 2019-07-10 |
| com.unianin.adsskipper | 2018-12-26 |
| com.codedexon.prayerbook | 2018-08-20 |
| com.luxury.BeerAddress | 2018-08-20 |
| com.luxury.BiFinBall | 2018-08-20 |
| com.zonjob.browsercleaner | 2018-08-20 |
| com.linevialab.ffont | 2018-08-20 |
Si bien las aplicaciones descubiertas por Kaspersky ya se han eliminado de Play Store, la situación no es la misma en el caso de las tiendas no oficiales. Ya que el spyware PhantomLance todavía está alojado y distribuido a través de tiendas disponibles en https://apkcombo[.]com, https://apk[.]support/, https://apkpure[.]com, https://apkpourandroid[.]com, así como y muchas otros.
Para evitar que se etiqueten y bloqueen sus aplicaciones, los hackers de OceanLotus primero subieron versiones de aplicaciones limpias sin payloads. También el código necesario para colocarlas en dispositivos comprometidos. Este comportamiento se confirmó después de descubrir versiones de la misma aplicación, con y sin un payload integrado.
“Estas versiones fueron aceptadas porque no contenían nada sospechoso. Empero las versiones de seguimiento se actualizaron tanto con payloads maliciosos como con código para eliminar y ejecutar estos payloads”, revelan los investigadores.
El hecho de que las aplicaciones maliciosas aún estén disponibles a través de las tiendas de terceros es fácil de explicar. Esto porque la mayoría de estas tiendas funcionan reflejando la Play Store oficial, también tomaron y compartieron las aplicaciones maliciosas.
Campaña de cinco años de OceanLotus
“PhantomLance ha estado funcionando durante más de cinco años y los actores de amenazas lograron evitar los filtros de las tiendas de aplicaciones varias veces. Lograron esto utilizando técnicas avanzadas para lograr sus objetivos”, dijo Alexey Firsh, investigador de seguridad de GREAT de Kaspersky.
“También podemos ver que el uso de plataformas móviles como punto de infección primario se está volviendo más popular. Esto con más y más actores avanzando en esta área”.
APT32 es un grupo de amenazas persistentes avanzadas respaldado por Vietnam. Este se ha dirigido a compañías extranjeras que invierten en múltiples sectores de la industria de Vietnam.
También se sabe que el grupo de hacking ha estado detrás de ataques dirigidos a institutos de investigación del mundo y organizaciones de medios. Asimismo, varias organizaciones de derechos humanos e incluso empresas de construcción marítima chinas.
Más recientemente, los actores de amenazas vietnamitas llevaron a cabo ataques de phishing dirigidos al Ministerio de Gestión de Emergencias de China. También al gobierno de la provincia de Wuhan con el objetivo final de recopilar información sobre la actual crisis COVID-19.
