Google Play Store para aplicaciones de Android nunca ha tenido una reputación por las protecciones más estrictas contra el malware. El adware sombrío e incluso los troyanos bancarios han logrado desafiar repetidamente los controles de seguridad de Google a lo largo de los años . Ahora los investigadores de seguridad han encontrado lo que parece ser una forma más rara de abuso de Android. Se trata de espías patrocinados por el estado que deslizaron repetidamente malware en Google Play Store y en los teléfonos de las víctimas.
En una versión virtual remota de la Cumbre anual de analistas de seguridad, los investigadores de la firma de seguridad rusa Kaspersky planean presentar hoy una investigación sobre una campaña de piratería que llaman PhantomLance. Se trata de espías ocultaron malware en Google Play Store para apuntar a usuarios en Vietnam, Bangladesh, Indonesia y la India.
A diferencia de la mayoría de las aplicaciones sospechosas que se encuentran en el malware Play Store, los investigadores de Kaspersky dicen que los piratas informáticos de PhantomLance aparentemente pasaron de contrabando aplicaciones robando datos con el objetivo de infectar solo a unos cientos de usuarios; la campaña de espionaje probablemente envió enlaces a las aplicaciones maliciosas a esos objetivos a través de correos electrónicos de phishing.
«En este caso, los atacantes usaron Google Play como una fuente confiable», dice el investigador de Kaspersky Alexey Firsh. «Puede entregar un enlace a esta aplicación, y la víctima confiará en él porque es Google Play».
¿Gobierno vietnamita involucrado?
Kaspersky dice que ha vinculado la campaña PhantomLance al grupo de hackers OceanLotus, también conocido como APT32. Se cree que está trabajando en nombre del gobierno vietnamita. Eso sugiere que la campaña PhantomLance probablemente mezcló el espionaje de los vecinos del sudeste asiático de Vietnam con la vigilancia interna de los ciudadanos vietnamitas. La firma de seguridad FireEye, por ejemplo, ha vinculado OceanLotus a operaciones anteriores que se dirigieron a disidentes y bloggers vietnamitas. FireEye también vio recientemente al grupo dirigido al Ministerio de Gestión de Emergencias de China. También al gobierno de la provincia china de Wuhan, aparentemente buscando información relacionada con Covid-19.
Los primeros indicios de la campaña de PhantomLance centrada en Google Play salieron a la luz en julio del año pasado. Fue entonces cuando la firma de seguridad rusa Dr. Web encontró una muestra de spyware en la tienda de aplicaciones de Google. Esta se hizo pasar por un descargador de software de diseño gráfico. Sin embargo, tenía la capacidad de robar contactos, registros de llamadas y mensajes de texto de teléfonos Android.
Los investigadores de Kaspersky encontraron una aplicación de software espía similar. Esta se hace pasar por una herramienta de limpieza de caché del navegador llamada Browser Turbo. Todavía estaba activa en Google Play en noviembre de ese año. (Google eliminó ambas aplicaciones maliciosas de Google Play después de que se informaron). Si bien las capacidades de espionaje de esas aplicaciones eran bastante básicas, Firsh dice que ambas podrían haberse expandido.
«Lo importante es la capacidad de descargar nuevas cargas maliciosas», dice. «Podría ampliar sus características significativamente».
Kaspersky fue más allá en su investigación
Kaspersky continuó encontrando decenas de otras aplicaciones de software espía similares que datan de 2015. Google ya había eliminado de su Play Store, pero que aún eran visibles en los espejos archivados del repositorio de aplicaciones. Esas aplicaciones parecían tener un enfoque vietnamita, ofreciendo herramientas para encontrar iglesias cercanas en Vietnam y noticias en idioma vietnamita. En todos los casos, dice Firsh, los piratas informáticos crearon una nueva cuenta e incluso repositorios de Github para desarrolladores falsificados para que las aplicaciones parezcan legítimas y oculten sus huellas. Firsh dice que en total, el software antivirus de Kaspersky detectó las aplicaciones maliciosas que intentaban infectar alrededor de 300 de los teléfonos de sus clientes.
En la mayoría de los casos, esas aplicaciones anteriores ocultaron su intención mejor que las dos que se habían quedado en Google Play. Fueron diseñados para estar «limpios» en el momento de la instalación y solo más tarde agregarán todas sus características maliciosas en una actualización. «Creemos que esta es la estrategia principal para estos tipos», dice Firsh. En algunos casos, esas cargas útiles maliciosas también parecían explotar los privilegios de «root». Estas les permitían anular el sistema de permisos de Android, que requiere que las aplicaciones soliciten el consentimiento del usuario antes de acceder a datos como contactos y mensajes de texto. Kaspersky dice que no pudo encontrar el código real que las aplicaciones usarían para hackear el sistema operativo Android y obtener esos privilegios.
Una vez que Kaspersky identificó las aplicaciones PhantomLance, sus investigadores pudieron hacer coincidir su código con el malware más antiguo utilizado por OceanLotus. Este ha estado activo desde al menos 2013. Las aplicaciones compartieron características con el malware Android que la firma de seguridad china Antiy Labs encontró en un vietnamita no oficial la tienda de aplicaciones en 2014, por ejemplo, y los dominios de comando y control del spyware se superponen con el malware OceanLotus dirigido al escritorio identificado previamente por las firmas de seguridad Trend Micro, ESET y Palo Alto Networks.
¿Qué hacer al respecto?
PhantomLance difícilmente sería la primera instancia de hackers patrocinados por el estado que abusen de Google Play para distribuir sus herramientas de espionaje. La organización sin fines de lucro Seguridad sin Fronteras descubrió el año pasado que un contratista de piratería ocultó herramientas de espionaje de Android en Google Play en nombre del gobierno italiano. Y en noviembre pasado, Google reveló que el famoso grupo de hackers rusos Sandworm había infiltrado a finales de 2017 varias piezas de malware en Google Play dirigidas a ucranianos y coreanos, este último quizás como parte de las operaciones de sabotaje de Rusia centradas en los Juegos Olímpicos de 2018 en Pyeongchang.
Pero la operación PhantomLance es particularmente inquietante porque muestra que incluso después de que Google eliminó gran parte del spyware de OceanLotus de Google Play, no detectó al menos dos de las aplicaciones maliciosas, dice Kurt Baumgartner de Kaspersky.
:)«Incluso después de que este grupo fuera reportado como activo en Google Play, todavía estaban activos y alojaban variantes viables a fines de 2019», dice Baumgartner. «Para mí, esto dice algo sobre el enfoque del jardín amurallado, y cómo la confianza en los jardines amurallados se ve sacudida».