Em julho de 2019, pesquisadores do mercado de segurança divulgaram uma nova amostra de spyware encontrada no Google Play. Esse relato chamou a atenção da Kaspersky por suas características inesperadas; com sofisticação e comportamento muito diferentes dos trojans que normalmente são usados em ataques via apps em lojas de aplicativos oficiais. Depois disso, os pesquisadores da Kaspersky conseguiram encontrar outra amostra muito parecida deste malware no Google Play.
Em geral, quando cibercriminosos conseguem colocar um app malicioso em uma loja oficial, eles investem consideravelmente para promovê-lo com o objetivo de ampliar ao máximo o potencial de vítimas infectadas. Porém, não foi isso que aconteceu com os apps espiões recém-descobertos. Aparentemente, seus operadores não estavam interessados na disseminação em massa. Para os pesquisadores, este é um indício de atividade de APT direcionada. Pesquisas adicionais possibilitaram a descoberta de várias versões deste malware com dezenas de amostras associadas por múltiplas semelhanças do código.
A funcionalidade de todas as amostras era parecida; a maior finalidade deste spyware era coletar informações e sua função principal não era muito ampla, incluindo geolocalização, logs de chamadas, acesso a contatos e SMSs. Porém, o app podia também reunir uma lista de apps instalados, assim como outras informações do dispositivo, como modelo e versão do sistema operacional. Além disso, o grupo especializado por atrás desta campanha conseguiu baixar e executar várias cargas maliciosas e, assim, adaptá-la ao ambiente específico do dispositivo infectado, como a versão do Android e os apps instalados. Dessa maneira, o operador da campanha conseguia evitar a sobrecarga do aplicativo com recursos desnecessários e, ao mesmo tempo, coletar as informações necessárias.
As pesquisas indicaram que o PhantomLance era distribuído principalmente em plataformas e marketplaces como Google Play e APKpure, mas não era limitada a elas. Para que os apps parecessem legítimos, em quase todas as implementações do malware, o grupo especializado tentava elaborar um perfil de desenvolvedor falso com a criação de uma conta associada no Github. Para esquivar-se dos mecanismos de filtragem utilizados pelos marketplaces, as primeiras versões do aplicativo enviadas pelo operador não continham nenhuma carga maliciosa. No entanto, nas atualizações posteriores, os apps recebiam o malware e o código para executá-lo.
De acordo com a Kaspersky Security Network, desde 2016, foram identificadas cerca de 300 tentativas de infecção em dispositivos Android em países como Índia, Vietnã, Bangladesh e Indonésia. Embora as estatísticas de detecção incluíssem infecções colaterais, o Vietnã destacou-se como um dos países com maior número de tentativas de ataque; havia também alguns aplicativos maliciosos usados na campanha criados em vietnamês.
Usando o mecanismo de atribuição de malware da Kaspersky – uma ferramenta que encontra similaridades entre fragmentos diferentes de código malicioso – os pesquisadores conseguiram determinar que as cargas do PhantomLance eram no mínimo 20% semelhantes às de uma das campanhas mais antigas no Android e associadas ao OceanLotus, um grupo especializado que está em operação pelo menos desde 2013 e cujos alvos estão localizados predominantemente no sudeste da Ásia. Além disso, foram descobertas várias sobreposições importantes com as atividades do OceanLotus relatadas anteriormente no Windows e no MacOS. Desta forma, os pesquisadores da Kaspersky acreditam – com um nível médio de segurança – que a campanha do PhantomLance possa estar ligada ao OceanLotus.
A Kaspersky reportou todas as amostras descobertas para os proprietários das lojas de aplicativos oficiais e o Google Play confirmou a retirada de todos os apps de sua loja.
“Esta campanha é um exemplo claro de como os grupos especializados em campanhas avançadas estão se especializando e ficam cada vez mais difícil de detectá-los. O PhantomLance está em atividade há mais de cinco anos e seus operadores conseguiram contornar os filtros das lojas oficiais por diversas vezes com técnicas avançadas. Também podemos ver que o uso de plataformas móveis como ponto principal de infecção está ganhando popularidade, com um número crescente de grupos avançados neste campo. Essa evolução ressalta a importância de melhorar continuamente o conhecimento sobre ciberameaças e de ter acesso a serviços de suporte capazes de ajudar no monitoramento destes grupos e para encontrar sobreposições entre as diversas campanhas maliciosas”, afirma Alexey Firsh, pesquisador de segurança da Kaspersky.
Para evitar ser vítima de ataques direcionados a organizações ou indivíduos, a Kaspersky recomenda:
Para consumidores:
• Usem uma solução de segurança confiável, como o Kaspersky Security Cloud, para obter proteção contra diversas ameaças. A solução inclui o Kaspersky Secure Connection, que evita que suas atividades online sejam rastreadas, oculta seu endereço IP e sua localização e transfere seus dados por um túnel de VPN seguro.
Para empresas:
• Verifiquem se a sua solução de segurança conta com uma proteção para dispositivos móveis, como o Kaspersky Security for Mobile. Ela deve possibilitar o controle de aplicativos para garantir que apenas apps legítimos possam ser instalados nos dispositivos corporativos, além de incluir proteção contra rooting para travar dispositivos desbloqueados ou remover os dados corporativos armazenados neles.
• Permitam que as equipes do Centro de Operações de Segurança (SOC) tenham acesso aos relatórios de Threat Intelligence mais recente e estejam sempre atualizadas com as novas ferramentas, técnicas e táticas usadas pelos grupos especializados em APTs e cibercriminosos.
• Para a detecção, investigação e rápida neutralização em nível do endpoints, implementem soluções de EDR, como o Kaspersky Endpoint Detection and Response.
• Além de adotar a proteção de segurança tradicional, implementem uma solução avançada, capaz de detectar ameaças sofisticadas na rede precocemente, como a plataforma Kaspersky Anti Targeted Attack.
