Las aplicaciones de Google Play Store infectadas por PhantomLance Backdoor habrían estado robando datos desde 2016

Las aplicaciones de Google Play Store infectadas por PhantomLance Backdoor habrían estado robando datos desde 2016

¿Sabes algo acerca de PhantomLance Backdoor? Un grupo de hackers ha estado utilizando Google Play para distribuir malware que se ha utilizado para robar datos privados desde finales de 2016.

Los Laboratorios Kaspersky ha compartido un informe detallado sobre la puerta trasera del troyano PhantomLance, denominado una forma sofisticada de malware, que no solo es más difícil de detectar sino también de investigar.

Las aplicaciones de Google Play Store infectadas por PhantomLance Backdoor habrían estado robando datos desde 2016

Kaspersky informa que el malware básicamente puede obtener acceso a toda la información en un teléfono inteligente infectado:

El objetivo principal de PhantomLance es recolectar información confidencial del dispositivo de la víctima. El malware puede proporcionar a sus recolectores, datos de ubicación, registros de llamadas, mensajes de texto, listas de aplicaciones instaladas e información completa sobre el teléfono móvil infectado.

Además, su funcionalidad se puede ampliar en cualquier momento simplemente cargando módulos adicionales desde el servidor de C&C.

Malware en aplicaciones de Google Play

Durante la investigación, el malware se encontró en aplicaciones y utilidades populares que permiten a los usuarios cambiar las fuentes, eliminar anuncios y realizar limpiezas del sistema. Los desarrolladores detrás de estas aplicaciones pudieron evitar cualquier verificación de seguridad en Google Play Store comenzando con versiones no maliciosas de sus aplicaciones.

Una vez que se publicaron las aplicaciones, pudieron agregar características maliciosas más adelante a través de actualizaciones, que Google Play Store no controló. Los desarrolladores también pudieron crear perfiles únicos en GitHub para actuar como fuentes de desarrollo creíbles.

Según los informes, los objetivos principales de PhantomLance han sido usuarios en Vietnam. Sin embargo, las aplicaciones infectadas también se han descargado en otras partes del mundo. El troyano se ha vinculado a un grupo llamado OceanLotus, que tiene un historial de ataques de malware similares en sistemas operativos de escritorio. Estos grupos a menudo están respaldados por funcionarios de alto nivel e incluso gobiernos.

Aunque Google ha eliminado estas aplicaciones de Play Store, aún están disponibles en línea en varios sitios web de descarga de APK y otras tiendas de terceros.

Parece que incluso si solo instala aplicaciones de Google Play Store, aún no es seguro a menos que verifique la autenticidad de los desarrolladores. Una búsqueda rápida en Google puede revelar mucha información creíble sobre los desarrolladores, y si algo parece dudoso en los resultados de búsqueda, evite tales aplicaciones.

La naturaleza abierta de Android también puede funcionar en su contra, ya que cualquiera puede simplemente registrarse en Play Store y publicar una aplicación maliciosa.

Esto sigue siendo alarmante para el sistema operativo más popular del mundo, ya sea de escritorio o móvil. Android se usa en 2.500 millones de dispositivos en todo el mundo, y Google ha fallado reiteradamente en proporcionar garantías adecuadas de privacidad y seguridad a los usuarios, para las aplicaciones que se distribuyen a través de su mercado oficial.

Si está interesado en los antecedentes técnicos de cómo funciona el malware y la investigación que se llevó a cabo entre bastidores por Kaspersky Labs, lea su informe detallado aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *