This post is also available in: Português
Segundo pesquisadores, uma sofisticada campanha de espionagem em andamento, voltada para usuários de Android, que possuem o Google Play, na Ásia. Trata-se de uma ameaça persistente avançada da sigla em inglês (APT) do grupo OceanLotus.
A campanha é centrada em um spyware complexo, que é distribuído por dezenas de aplicativos no mercado oficial do Google Play, assim como outros pontos de venda, como o mercado de terceiros, conhecido como APKpure.
Essa campanha foi apelidada de PhantomLance pela Kaspersky, e, de acordo com descobertas divulgadas, embora tenha sido visto pela primeira vez apenas no ano passado, é possível que a ameaça exista desde 2016.
Campanha sofisticada e funcionalidades restritas
Segundo os pesquisadores, o spyware é restrito em termos de funcionalidade.
Ele consegue coletar dados de localização geográfica, registros de chamadas, contatos e monitorar atividades do SMS.
Além disso, ele pode reunir uma lista de aplicativos instalados, além de informações sobre o dispositivo, como o modelo e a versão do sistema operacional.
Desde que foram sinalizadas, em julho de 2019, várias versões do malware foram encontradas em muitos aplicativos.
Os pesquisadores disseram que todas as amostras descobertas são conectadas por várias semelhanças de código.
Assim que o aplicativo não autorizado é instalado, ele examina o ambiente do dispositivo da vítima, como a versão Android que a pessoa está usando e os aplicativos instalados.
De acordo com a Kaspersky, o spyware evita sobrecarregar o dispositivo durante o período de coleta das informações desejadas, dificultando sua identificação.
A Kaspersky observou que na última versão do Google Play, o comportamento do malware é diferente das versões anteriores, e ressalta:
“Nossa principal teoria sobre os motivos de todas essas manobras de versão é que os atacantes estão tentando usar diversas técnicas para atingir seu objetivo principal, para ignorar os filtros oficiais aplicados pela Google. E até o momento obtiveram êxito, pois o spyware foi carregado no Google Play Store em 2019”.
A versão mais recente também oculta seus pedidos de permissões suspeitos. Eles são solicitados dinamicamente e ocultos no executável.
“Parece ser uma tentativa adicional de contornar a filtragem de segurança”, disse a Kaspersky. “Além disso, há um recurso que nunca vimos antes: se os privilégios de root estiverem acessíveis no dispositivo, o malware poderá usar uma chamada para a função da API ‘setUidMode’ para obter as permissões necessárias sem o envolvimento do usuário”.
O agente de ameaças criou um perfil de desenvolvedor falso em uma conta associada do Github, numa tentativa adicional de tornar os aplicativos legítimos.
Os pesquisadores da Kaspersky explicaram que para evitar os mecanismos de filtragem empregados pela Google, as primeiras versões do aplicativo enviadas não continham cargas maliciosas.
No entanto, com atualizações posteriores, os aplicativos receberam cargas úteis maliciosas e um código para eliminar e executar essas cargas.
O spyware não visa ataque direcionado
Os pesquisadores observaram que os operadores do malware não parecem interessados em infecção de larga escala.
Desde 2016, apenas 300 tentativas de infecção foram observadas em dispositivos Android, principalmente na Índia, Vietnã, Bangladesh e Indonésia.
Outras infecções foram localizadas na Argélia, Irã e África do Sul. E, várias infecções foram encontradas no Nepal, Mianmar e Malásia.
Os tipos de aplicativos que o malware imita incluem plug-ins, limpadores e atualizadores de Flash.
O Vietnã, em particular, viu um grande número de tentativas de ataques e alguns aplicativos maliciosos, usados na campanha, foram criados exclusivamente em vietnamita.
Conexão OceanLotus
Os pesquisadores da Kaspersky determinaram em suas pesquisas que as cargas úteis do PhantomLance eram pelo menos 20% semelhantes às usadas em uma campanha mais antiga do Android associada ao OceanLotus.
Além disso, houve várias outras sobreposições na atividade do OceanLotus direcionadas aos usuários de Windows e MacOs.
A empresa está avaliando com “confiança média” que PhantomLance pode ser o trabalho do grupo de espionagem cibernética.
O OceanLotus trata-se de uma APT vinculado ao Vietnã, que está em operação desde, pelo menos, 2013, e também é conhecida como APT32.
Os objetivos dessa APT estão localizados principalmente no sudeste da Ásia.
Recentemente, os pesquisadores do FireEye Mandiant, viram o grupo atacando o Ministério de Gerenciamento de Emergências da China, bem como o governo da província de Wuhan, em uma aparente tentativa de roubar informações sobre a resposta da COVID-19 do país.
As descobertas feitas pelas Kaspersky foram relatadas aos proprietários de lojas de aplicativos legítimos, e o Google removeu as ameaças identificadas.
Entretanto, a campanha está em andamento, de acordo com a empresa.
A ação é um excelente exemplo de como os autores de ameaças avançadas estão se movendo para águas mais profundas, sendo cada vez mais difíceis de encontrar.
O PhantomLance já dura mais de cinco anos, conseguindo contornar os filtros das lojas de aplicativos várias vezes, usando técnicas avançadas para atingir seus objetivos.
O uso de plataformas móveis como ponto primário de infecção está se tornando mais popular, com mais e mais cibercriminosos avançando nessa área.
Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.
Via: ThreatPost.
This post is also available in: Português
