{"id":22625,"date":"2020-05-04T17:49:01","date_gmt":"2020-05-04T15:49:01","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=22625"},"modified":"2020-05-06T11:43:13","modified_gmt":"2020-05-06T09:43:13","slug":"phantomlance-android-backdoor-trojan","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/phantomlance-android-backdoor-trojan\/22625\/","title":{"rendered":"PhantomLance, la puerta trasera de Android en Google Play"},"content":{"rendered":"

El pasado julio, nuestros colegas de Doctor Web detectaron<\/a> un troyano de puerta trasera<\/a> en Google Play. Este tipo de descubrimientos no pasan todos los d\u00edas, pero eso no quiere decir que no sean habituales; los investigadores encuentran troyanos en Google Play, a veces cientos de ellos de una sola vez.<\/p>\n

No obstante, este troyano era incre\u00edblemente sofisticado comparado con el malware<\/em> que se encuentra habitualmente en Google Play, por lo que nuestros expertos decidieron indagar m\u00e1s. Realizaron su propia investigaci\u00f3n<\/a> y hallaron que el malware<\/em> es parte de una campa\u00f1a maliciosa (que hemos denominado PhantomLance) y que se encuentra activa desde enero del 2015.<\/p>\n

Qu\u00e9 puede hacer PhantomLance<\/h2>\n

Nuestros expertos detectaron varias versiones de PhantomLance. A pesar de su creciente complejidad y las diferencias en el momento de aparici\u00f3n, son bastante similares en t\u00e9rminos de funcionalidades.<\/p>\n

El objetivo principal de PhantomLance es recopilar informaci\u00f3n confidencial del dispositivo de la v\u00edctima. El malware<\/em> es capaz de entregarle a sus operarios los datos de ubicaci\u00f3n, registros de llamada, mensajes de texto, listas de aplicaciones instaladas e informaci\u00f3n completa acerca del smartphone<\/em> infectado. Adem\u00e1s, su funcionalidad puede expandirse en todo momento simplemente con cargar m\u00f3dulos adicionales desde el servidor de mando y control.<\/p>\n

Distribuci\u00f3n de PhantomLance<\/h2>\n

Google Play es la plataforma de distribuci\u00f3n principal del malware<\/em>. Tambi\u00e9n se encuentra en repositorios de terceros, pero la mayor parte son solamente sitios \u201cespejo\u201d que replican la tienda oficial de aplicaciones de Google.<\/p>\n

Podemos afirmar que las aplicaciones infectadas con una versi\u00f3n del troyano empezaron a aparecer en la tienda en el verano del 2018. Este malware<\/em> apareci\u00f3 escondido en herramientas para cambiar fuentes, eliminar publicidad, limpiar el sistema y dem\u00e1s.<\/p>\n

\"\"

Una aplicaci\u00f3n de Google Play en la que se encontr\u00f3 la puerta trasera PhantomLance<\/p><\/div>\n

Evidentemente, se retiraron de Google Play las aplicaciones que conten\u00edan PhantomLance, pero a\u00fan pueden encontrarse copias en sitios \u201cespejo\u201d. Lo ir\u00f3nico del asunto es que algunos de estos sitios espejo se\u00f1alan que el paquete de instalaci\u00f3n se ha descargado directamente desde Google Play y que, por tanto, est\u00e1n libres de virus.<\/p>\n

Pero \u00bfc\u00f3mo consiguieron los ciberdelincuentes introducir su juguetito en la tienda oficial de Google? En primer lugar, con el fin de a\u00f1adirle autenticidad, los atacantes crearon un perfil en GitHub para cada desarrollador. Estos perfiles conten\u00edan solamente un tipo de acuerdo de licencia. Sin embargo, contar con un perfil en GitHub al parecer otorga respeto a los desarrolladores.<\/p>\n

En segundo lugar, las aplicaciones que los creadores de PhantomLance subieron en primer lugar a la tienda no eran maliciosas. Las primeras versiones de los programas no conten\u00edan ninguna caracter\u00edstica sospechosa y, por lo tanto, pasaron con \u00e9xito las revisiones de Google Play. Solo despu\u00e9s de un tiempo, con las actualizaciones, las aplicaciones adquieren estas funciones maliciosas.<\/p>\n

Objetivos de PhantomLance<\/h2>\n

A juzgar por la geograf\u00eda de su propagaci\u00f3n, as\u00ed como la presencia de versiones vietnamitas de aplicaciones maliciosas en tiendas online<\/em>, creemos que los objetivos principales de los desarrolladores de PhantomLance eran los usuarios de Vietnam.<\/p>\n

Por otra parte, nuestros expertos detectaron un n\u00famero de funciones que relacionaban a PhantomLance con el grupo OceanLotus, responsable de la creaci\u00f3n de una variedad de malware<\/em> tambi\u00e9n dirigido contra usuarios de Vietnam.<\/p>\n

El conjunto de herramientas malware<\/em> de OceanLotus analizadas anteriormente incluye a la familia de puertas traseras de macOS, una familia de puertas traseras de Windows y un conjunto de troyanos de Android, cuya actividad se detect\u00f3 entre el 2014 y el 2017. Nuestros expertos llegaron a la conclusi\u00f3n de que PhantomLance sucedi\u00f3 a los troyanos de Android antes mencionados a partir del 2016.<\/p>\n

\"\"

PhantomLance est\u00e1 relacionado con otras armas malware de OceanLotus<\/p><\/div>\n

C\u00f3mo defenderte de PhantomLance<\/h2>\n

Uno de los consejos que reiteramos en nuestras publicaciones acerca del malware<\/em> en Android es \u201cInstala aplicaciones exclusivamente desde Google Play\u201d, pero PhantomLance vuelve a demostrar que el malware<\/em> puede llegar a enga\u00f1ar incluso a los gigantes de Internet.<\/p>\n

Google toma medidas rigurosas para mantener la pureza de su tienda de aplicaciones (de no ser as\u00ed, nos encontrar\u00edamos software<\/em> sospechoso m\u00e1s a menudo), pero las capacidades de la empresa no son infinitas y los atacantes son muy ingeniosos. Por lo tanto, el simple hecho de que una aplicaci\u00f3n est\u00e9 en Google Play no garantiza que sea segura. Considera siempre otros factores:<\/p>\n