Cómo los espías introdujeron malware en Google Play Store

Google Play Store para aplicaciones de Android nunca ha tenido una reputaci√≥n por las protecciones m√°s estrictas contra el malware. El adware sombr√≠o e incluso los troyanos bancarios han logrado desafiar repetidamente los controles de seguridad de Google a lo largo de los a√Īos . Ahora los investigadores de seguridad han encontrado lo que parece ser una forma m√°s rara de abuso de Android. Se trata de esp√≠as patrocinados por el estado que deslizaron repetidamente malware en Google Play Store y en los tel√©fonos de las v√≠ctimas.

En una versi√≥n virtual remota de la Cumbre anual de analistas de seguridad, los investigadores de la firma de seguridad rusa Kaspersky planean presentar hoy una investigaci√≥n sobre una campa√Īa de pirater√≠a que llaman PhantomLance. Se trata de esp√≠as ocultaron malware en Google Play Store para apuntar a usuarios en Vietnam, Bangladesh, Indonesia y la India.

A diferencia de la mayor√≠a de las aplicaciones sospechosas que se encuentran en el malware Play Store, los investigadores de Kaspersky dicen que los piratas inform√°ticos de PhantomLance aparentemente pasaron de contrabando aplicaciones robando datos con el objetivo de infectar solo a unos cientos de usuarios; la campa√Īa de espionaje probablemente envi√≥ enlaces a las aplicaciones maliciosas a esos objetivos a trav√©s de correos electr√≥nicos de phishing.

¬ęEn este caso, los atacantes usaron Google Play como una fuente confiable¬Ľ, dice el investigador de Kaspersky Alexey Firsh. ¬ęPuede entregar un enlace a esta aplicaci√≥n, y la v√≠ctima confiar√° en √©l porque es Google Play¬Ľ.

¬ŅGobierno vietnamita involucrado?

Cómo los espías introdujeron malware en Google Play Store

Kaspersky dice que ha vinculado la campa√Īa PhantomLance al grupo de hackers OceanLotus, tambi√©n conocido como APT32. Se cree que est√° trabajando en nombre del gobierno vietnamita. Eso sugiere que la campa√Īa PhantomLance probablemente mezcl√≥ el espionaje de los vecinos del sudeste asi√°tico de Vietnam con la vigilancia interna de los ciudadanos vietnamitas. La firma de seguridad FireEye, por ejemplo, ha vinculado OceanLotus a operaciones anteriores que se dirigieron a disidentes y bloggers vietnamitas. FireEye tambi√©n vio recientemente al grupo dirigido al Ministerio de Gesti√≥n de Emergencias de China. Tambi√©n al gobierno de la provincia china de Wuhan, aparentemente buscando informaci√≥n relacionada con Covid-19.

Los primeros indicios de la campa√Īa de PhantomLance centrada en Google Play salieron a la luz en julio del a√Īo pasado. Fue entonces cuando la firma de seguridad rusa Dr. Web encontr√≥ una muestra de spyware en la tienda de aplicaciones de Google. Esta se hizo pasar por un descargador de software de dise√Īo gr√°fico. Sin embargo, ten√≠a la capacidad de robar contactos, registros de llamadas y mensajes de texto de tel√©fonos Android.

Los investigadores de Kaspersky encontraron una aplicaci√≥n de software esp√≠a similar. Esta se hace pasar por una herramienta de limpieza de cach√© del navegador llamada Browser Turbo. Todav√≠a estaba activa en Google Play en noviembre de ese a√Īo. (Google elimin√≥ ambas aplicaciones maliciosas de Google Play despu√©s de que se informaron). Si bien las capacidades de espionaje de esas aplicaciones eran bastante b√°sicas, Firsh dice que ambas podr√≠an haberse expandido.

¬ęLo importante es la capacidad de descargar nuevas cargas maliciosas¬Ľ, dice. ¬ęPodr√≠a ampliar sus caracter√≠sticas significativamente¬Ľ.

Kaspersky fue más allá en su investigación

Kaspersky continu√≥ encontrando decenas de otras aplicaciones de software esp√≠a similares que datan de 2015. Google ya hab√≠a eliminado de su Play Store, pero que a√ļn eran visibles en los espejos archivados del repositorio de aplicaciones. Esas aplicaciones parec√≠an tener un enfoque vietnamita, ofreciendo herramientas para encontrar iglesias cercanas en Vietnam y noticias en idioma vietnamita. En todos los casos, dice Firsh, los piratas inform√°ticos crearon una nueva cuenta e incluso repositorios de Github para desarrolladores falsificados para que las aplicaciones parezcan leg√≠timas y oculten sus huellas. Firsh dice que en total, el software antivirus de Kaspersky detect√≥ las aplicaciones maliciosas que intentaban infectar alrededor de 300 de los tel√©fonos de sus clientes.

En la mayor√≠a de los casos, esas aplicaciones anteriores ocultaron su intenci√≥n mejor que las dos que se hab√≠an quedado en Google Play. Fueron dise√Īados para estar ¬ęlimpios¬Ľ en el momento de la instalaci√≥n y solo m√°s tarde agregar√°n todas sus caracter√≠sticas maliciosas en una actualizaci√≥n. ¬ęCreemos que esta es la estrategia principal para estos tipos¬Ľ, dice Firsh. En algunos casos, esas cargas √ļtiles maliciosas tambi√©n parec√≠an explotar los privilegios de ¬ęroot¬Ľ. Estas les permit√≠an anular el sistema de permisos de Android, que requiere que las aplicaciones soliciten el consentimiento del usuario antes de acceder a datos como contactos y mensajes de texto. Kaspersky dice que no pudo encontrar el c√≥digo real que las aplicaciones usar√≠an para hackear el sistema operativo Android y obtener esos privilegios.

Una vez que Kaspersky identificó las aplicaciones PhantomLance, sus investigadores pudieron hacer coincidir su código con el malware más antiguo utilizado por OceanLotus. Este ha estado activo desde al menos 2013. Las aplicaciones compartieron características con el malware Android que la firma de seguridad china Antiy Labs encontró en un vietnamita no oficial la tienda de aplicaciones en 2014, por ejemplo, y los dominios de comando y control del spyware se superponen con el malware OceanLotus dirigido al escritorio identificado previamente por las firmas de seguridad Trend Micro, ESET y Palo Alto Networks.

¬ŅQu√© hacer al respecto?

Cómo los espías introdujeron malware en Google Play Store

PhantomLance dif√≠cilmente ser√≠a la primera instancia de hackers patrocinados por el estado que abusen de Google Play para distribuir sus herramientas de espionaje. La organizaci√≥n sin fines de lucro Seguridad sin Fronteras descubri√≥ el a√Īo pasado que un contratista de pirater√≠a ocult√≥ herramientas de espionaje de Android en Google Play en nombre del gobierno italiano. Y en noviembre pasado, Google revel√≥ que el famoso grupo de hackers rusos Sandworm hab√≠a infiltrado a finales de 2017 varias piezas de malware en Google Play dirigidas a ucranianos y coreanos, este √ļltimo quiz√°s como parte de las operaciones de sabotaje de Rusia centradas en los Juegos Ol√≠mpicos de 2018 en Pyeongchang.

Pero la operación PhantomLance es particularmente inquietante porque muestra que incluso después de que Google eliminó gran parte del spyware de OceanLotus de Google Play, no detectó al menos dos de las aplicaciones maliciosas, dice Kurt Baumgartner de Kaspersky.

¬ęIncluso despu√©s de que este grupo fuera reportado como activo en Google Play, todav√≠a estaban activos y alojaban variantes viables a fines de 2019¬Ľ, dice Baumgartner. ¬ęPara m√≠, esto dice algo sobre el enfoque del jard√≠n amurallado, y c√≥mo la confianza en los jardines amurallados se ve sacudida¬Ľ.

:)