PhantomLance: una muestra del malware en Google Play

Para hablar de PhantomLance antes tenemos que hacer un poco de historia. Y es que la investigación llevada a cabo por Kaspersky, y que relaciona esta campaña con el grupo OceanLotus viene de lejos. Más concretamente de diciembre de 2015, fecha en la que el grupo registró el primer dominio relacionado con las acciones de esta campaña de malware, consistente en introducir app maliciosas en Google Play y otras populares tiendas de software para dispositivos Android, como APKpure y APKCombo.

Las primeras muestras del patógeno detectadas in the wild se encuentran a principios de 2016 y, desde entonces, Phantomlance ha estado introduciendo apps malintencionadas en Google Play hasta noviembre de 2019, cuando los investigadores informaron a Google, que procedió a eliminar las últimas muestras detectadas en esta plataforma.

En concreto, la última app eliminada, un spyware que se hacía con datos de sus víctimas, se hacía pasar por un optimizador del sistema, especializado en realizar labores de limpieza y mantenimiento del navegador web, con el fin de mejorar sustancialmente su rendimiento. Obviamente poco o nada de eso obtenían las víctimas que, sin embargo, sí que veían comprometida su privacidad.

Si bien las aplicacionesdescubiertas por Kaspersky ya se han eliminado de Play Store, la situación no es la misma en el caso de los mercados no oficiales, ya que el PhantomLance todavía está alojado y distribuido a través de otras tiendas. Y esto no es una suposición, los técnicos de la compañía han podido verificar que todavía es posible descargarlas, y el malware incluido en las mismas sigue estando activo.

Un aspecto muy interesante de la técnica empleada en PhantomLace, es que para ganar cierta credibilidad, la primera versión de las apps que suben a las tiendas de aplicaciones no incluye las funciones malignas. De esta manera, pasan los controles de seguridad establecidos por Google. Y una vez que ya ha logrado estar ahí, las versiones con malware se suben como actualizaciones de la versión 1.0, algo que nos enseña que las políticas de verificación son más estrictas con una app nueva que con las sucesivas actualizaciones de la misma.

A día de hoy, no hay ninguna señal de que PhantomLace haya finalizado, si bien es cierto que al haberse identificado claramente su operativa, es algo más sencillo detectar nuevas apps malintencionadas. Por lo tanto, es posible que en este momento, en el seno de OceanLotus, se esté estudiando si prolongar la campaña por más tiempo o, por el contrario, darla por amortizada y empezar a trabajar en una nueva campaña. El tiempo nos dirá qué ha ocurrido finalmente.

La entrada PhantomLance: una muestra del malware en Google Play es original de MuySeguridad. Seguridad informática.