Uma campanha de espionagem, denominada PhantomLance, está utilizando aplicativos hospedados no Google Play para roubar os dados de usuários de dispositivos Android. Segundo os pesquisadores da empresa especializada em segurança virtual Kaspersky, o esquema funciona há pelo menos quatro anos.
A denúncia é baseada na descoberta de um novo trojan no repositório de aplicativos do Google e na biblioteca de arquivos APK do site APKPure.
Segundo a investigação, o malware apresenta recursos de criptografia avançados e a habilidade de adaptar as atividades maliciosas, conforme características do sistema do dispositivo infectado. Para a empresa, esses fatores sugerem que o PhantomLance é operado por cibercriminosos qualificados.
“O PhantomLance já dura mais de cinco anos e seus atores conseguiram contornar os mecanismos [de segurança] das lojas de aplicativos várias vezes usando técnicas avançadas para atingir seus objetivos”, disse Alexey Firsh, pesquisador da Kaspersky.
O malware foi encontrado em diversas variações. Suas funções básicas correspondem ao roubo de registros de chamadas telefônicas, contatos, dados de GPS, mensagens SMS e informações do sistema operacional. A aplicação maliciosa é capaz de instalar backdoors para transferir esses dados para um servidor de comando do operador.
A Kaspersky suspeita que o movimento é coordenado por um grupo de ameaça persistente avançada (APT). Essa expressão descreve ameaças cibernéticas, especialmente a prática de campanhas de espionagem, que visam atingir computadores específicos com informações valiosas.
Nestes ataques agentes maliciosos empregam uma variedade de técnicas avançadas de coleta de informações, e as operações são conduzidas durante longos períodos de tempo, por meio de processos contínuos e cadenciados. Por isso, a definição “persistente”.
Os especialistas explicam que, em “quase todos os casos”, os criminosos criam perfis falsos nas plataformas e submetem a primeira versão de um aplicativo isento de malwares. No entanto, em atualizações posteriores eles inserem comandos de atividades maliciosas, bem como o código para executá-las.
A empresa de segurança digital identificou pelo menos 300 tentativas de infecção de dispositivos na Índia, no Vietnã, em Bangladesh e na Indonésia desde 2016.
Suspeita
A Kaspersky ainda não identificou o grupo por trás da campanha. A empresa suspeita, no entanto, do envolvimento de uma organização chamada OceanLotus, também conhecida como APT32.
Ao analisar os códigos dos programas, a companhia detectou que pelo menos 20% dos comandos são similares ao de antigos ataques cibernéticos comandados pela OceanLotus contra celulares Android de usuários do sudeste asiático.
O grupo atua desde 2013 e já coordenou campanhas de invasão contra entidades públicas, incluindo os governos vietnamita e chinês. Recentemente, a OceanLotus esteve associada a um novo ataque ao Ministério de Gerenciamento de Emergências da China, que tentou mapear e roubar dados relacionados à pandemia de Covid-19.
A Kaspersky denunciou todos os aplicativos maliciosos ligados à campanha PhantomLance e o Google já removeu os programas da Play Store, diz o site ZDNet.
Fonte: ZDNet
Tags: