Kaspersky acusa al grupo de hackers APT32 de usar Google Play Store para distribuir spyware durante años

Los investigadores de seguridad de Kaspersky lanzaron recientemente una campaña de ataque malicioso llamada PhantomLance, dirigida a los usuarios de dispositivos Android con cargas maliciosas como spyware integrado en aplicaciones distribuidas en plataformas, incluida Google Play Store y tiendas de aplicaciones alternativas Android como APKpure y APKCombo.

En particular, según Kaspersky, PhantomLance tiene muchas características que se superponen con los ataques maliciosos detectados anteriormente en Windows y macOS debido a OceanLotus (también conocido como APT32), para obtener más información sobre este grupo de piratas informáticos (que puede leer en Wikipedia) está detrás del operación. Por lo tanto, no sin razón Kaspersky cree que OceanLotus también es la organización detrás de la campaña PhantomLance.

"La campaña ha estado funcionando desde al menos 2015 y continúa, incluidas varias versiones de software espía sofisticado diseñado para recopilar datos de las víctimas. Junto con eso, es una estrategia inteligente para propagarse a través de docenas de aplicaciones en Google Play y otras plataformas de descarga. Aplicaciones de Android, '' dijo el equipo de Kaspersky.

Centrarse en recopilar y robar información.

La razón por la que Kaspersky logró lanzar la campaña PhantomLance se debe al informe de Doctor Web sobre un nuevo caballo de Troya de puerta trasera, que encontraron en Play Store, que está diseñado para ser relativamente complejo para robar información financiera y de inicio de sesión. Usuarios de Android principalmente en el sudeste asiático, excepto Vietnam. Estos datos incluyen ubicación geográfica, registros de llamadas, contactos, mensajes de texto, lista de aplicaciones instaladas e información sobre el dispositivo de la víctima.

Foto 1 de Kaspersky acusa al grupo de hackers APT32 de usar Google Play Store para distribuir software espía durante años

El país al que apunta PhantomLance

No solo eso, los piratas informáticos pueden descargar y ejecutar varias cargas maliciosas. Por lo tanto, pueden ajustar la carga útil para adaptarse al entorno específico del dispositivo, como la versión de Android y las aplicaciones instaladas. "De esta manera, pueden limitar la congestión de una aplicación maliciosa a través de funciones innecesarias y una recopilación precisa de los datos deseados".

Distribuido a través de múltiples plataformas de descarga de aplicaciones de Android

Kaspersky publicó una lista de aplicaciones de Android que contenían muestras del malware PhantomLance y luego se eliminó de Play Store de Google en noviembre de 2019. En particular:

Foto 2 de Kaspersky acusa al grupo de hackers APT32 de usar Google Play Store para distribuir spyware durante años

No solo en Play Store, PhantomLance se distribuye en varias otras plataformas importantes para descargar aplicaciones de Android, como https: // apkcombo [.] Com, https: // apk [.] Soporte /, https: // apkpure [.] com, https: // apkpourandroid [.] com y algunas otras plataformas.

Para no ser detectados y evitados por estas plataformas, los piratas informáticos primero cargarán versiones limpias de la aplicación que no contengan cargas maliciosas. Sin embargo, con actualizaciones posteriores de la aplicación, se adjuntarán cargas maliciosas y se enviarán al dispositivo de la víctima.

"PhantomLance existe desde hace más de cinco años, y los agentes de amenazas han tenido mucho éxito al tratar de eludir los filtros de seguridad avanzados de la tienda de aplicaciones muchas veces con técnicas avanzadas".

Actualmente, Kaspersky sigue supervisando de cerca las campañas APT32 y PhantomLance.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!