PhantomLance, la puerta trasera de Android en Google Play

PhantomLance, un troyano increíblemente sofisticado comparado con el malware que se encuentra habitualmente en Google Play.

El pasado julio, nuestros colegas de Doctor Web detectaron un troyano de puerta trasera en Google Play. Este tipo de descubrimientos no pasan todos los días, pero eso no quiere decir que no sean habituales; los investigadores encuentran troyanos en Google Play, a veces cientos de ellos de una sola vez.

No obstante, este troyano era increíblemente sofisticado comparado con el malware que se encuentra habitualmente en Google Play, por lo que nuestros expertos decidieron indagar más. Realizaron su propia investigación y hallaron que el malware es parte de una campaña maliciosa (que hemos denominado PhantomLance) y que se encuentra activa desde enero del 2015.

Qué puede hacer PhantomLance

Nuestros expertos detectaron varias versiones de PhantomLance. A pesar de su creciente complejidad y las diferencias en el momento de aparición, son bastante similares en términos de funcionalidades.

El objetivo principal de PhantomLance es recopilar información confidencial del dispositivo de la víctima. El malware es capaz de entregarle a sus operarios los datos de ubicación, registros de llamada, mensajes de texto, listas de aplicaciones instaladas e información completa acerca del smartphone infectado. Además, su funcionalidad puede expandirse en todo momento simplemente con cargar módulos adicionales desde el servidor de mando y control.

Distribución de PhantomLance

Google Play es la plataforma de distribución principal del malware. También se encuentra en repositorios de terceros, pero la mayor parte son solamente sitios “espejo” que replican la tienda oficial de aplicaciones de Google.

Podemos afirmar que las aplicaciones infectadas con una versión del troyano empezaron a aparecer en la tienda en el verano del 2018. Este malware apareció escondido en herramientas para cambiar fuentes, eliminar publicidad, limpiar el sistema y demás.

Una aplicación de Google Play en la que se encontró la puerta trasera PhantomLance

Evidentemente, se retiraron de Google Play las aplicaciones que contenían PhantomLance, pero aún pueden encontrarse copias en sitios “espejo”. Lo irónico del asunto es que algunos de estos sitios espejo señalan que el paquete de instalación se ha descargado directamente desde Google Play y que, por tanto, están libres de virus.

Pero ¿cómo consiguieron los ciberdelincuentes introducir su juguetito en la tienda oficial de Google? En primer lugar, con el fin de añadirle autenticidad, los atacantes crearon un perfil en GitHub para cada desarrollador. Estos perfiles contenían solamente un tipo de acuerdo de licencia. Sin embargo, contar con un perfil en GitHub al parecer otorga respeto a los desarrolladores.

En segundo lugar, las aplicaciones que los creadores de PhantomLance subieron en primer lugar a la tienda no eran maliciosas. Las primeras versiones de los programas no contenían ninguna característica sospechosa y, por lo tanto, pasaron con éxito las revisiones de Google Play. Solo después de un tiempo, con las actualizaciones, las aplicaciones adquieren estas funciones maliciosas.

Objetivos de PhantomLance

A juzgar por la geografía de su propagación, así como la presencia de versiones vietnamitas de aplicaciones maliciosas en tiendas online, creemos que los objetivos principales de los desarrolladores de PhantomLance eran los usuarios de Vietnam.

Por otra parte, nuestros expertos detectaron un número de funciones que relacionaban a PhantomLance con el grupo OceanLotus, responsable de la creación de una variedad de malware también dirigido contra usuarios de Vietnam.

El conjunto de herramientas malware de OceanLotus analizadas anteriormente incluye a la familia de puertas traseras de macOS, una familia de puertas traseras de Windows y un conjunto de troyanos de Android, cuya actividad se detectó entre el 2014 y el 2017. Nuestros expertos llegaron a la conclusión de que PhantomLance sucedió a los troyanos de Android antes mencionados a partir del 2016.

PhantomLance está relacionado con otras armas malware de OceanLotus

Cómo defenderte de PhantomLance

Uno de los consejos que reiteramos en nuestras publicaciones acerca del malware en Android es “Instala aplicaciones exclusivamente desde Google Play”, pero PhantomLance vuelve a demostrar que el malware puede llegar a engañar incluso a los gigantes de Internet.

Google toma medidas rigurosas para mantener la pureza de su tienda de aplicaciones (de no ser así, nos encontraríamos software sospechoso más a menudo), pero las capacidades de la empresa no son infinitas y los atacantes son muy ingeniosos. Por lo tanto, el simple hecho de que una aplicación esté en Google Play no garantiza que sea segura. Considera siempre otros factores:

  • Da preferencia a las aplicaciones de desarrolladores de confianza.
  • Presta atención a las calificaciones de las aplicaciones y las reseñas de los usuarios.
  • Revisa con atención los permisos que solicita una aplicación y no dudes en rechazar si te parece que piden demasiado. Por ejemplo, una aplicación sobre el clima no necesita acceso a tus contactos y mensajes; de la misma forma que un filtro fotográfico no necesita conocer tu ubicación.
  • Escanea las aplicaciones que instalas en tu dispositivo Android con una solución de seguridad fiable.

Para conocer la información más técnica acerca de PhantomLance, consulta el informe exhaustivo de nuestros expertos en Securelist.

Consejos