Malware en Google Apps

Interesante historia sobre el descubrimiento de malware oculto en Google Apps. Esta campaña en particular está relacionada con el gobierno de Vietnam.

En una sesión virtual remota de la Cumbre Anual de Analistas de Seguridad, los investigadores de la empresa rusa de seguridad Kaspersky tienen previsto presentar hoy una investigación sobre una campaña de espionaje informático conocida como PhantomLance, en la que los espías escondieron malware en la Play Store con el objetivo de llegar a usuarios de Vietnam, Bangladesh, Indonesia y la India. A diferencia de la mayoría de las aplicaciones sospechosas de Play Store que contienen malware, los investigadores de Kaspersky afirman que los hackers de PhantomLance aparentemente se introdujeron ilegalmente en aplicaciones para robar datos con el objetivo de infectar únicamente a unos cientos de usuarios. Es probable que la campaña de espionaje enviase a estos objetivos enlaces a las aplicaciones maliciosas a través de correos electrónicos de phishing. «En este caso, los atacantes utilizaron Google Play como fuente de confianza», comenta Alexey Firsh, investigador de Kaspersky. «Si envías un enlace a esta aplicación, la víctima confiará en él porque está en Google Play».

[...]

Los primeros indicios de la campaña de PhantomLance dirigida a Google Play salieron a la luz en julio del año pasado. Fue entonces cuando que se hizo pasar por un descargador de software de diseño gráfico pero que en realidad tenía la capacidad de robar contactos, registros de llamadas y mensajes de texto de los teléfonos Android. Los investigadores de Kaspersky encontraron una aplicación de spyware similar que se hacía pasar por una herramienta de limpieza de la caché del navegador llamada Browser Turbo, que seguía activa en Google Play en noviembre de ese año. (Google eliminó ambas aplicaciones maliciosas de Google Play después de que se informara de su existencia). Mientras que la capacidad de espionaje de esas aplicaciones era bastante básica, Firsh asegura que ambas podrían haberse extendido. «Lo importante es la capacidad de descargar nuevas cargas útiles maliciosas», afirma. «Puede mejorar considerablemente sus características».

Kaspersky encontró decenas de otras aplicaciones de software de espionaje similares que datan de 2015 y que Google ya había eliminado de su Play Store, pero que aún eran visibles en los servidores espejo del repositorio de aplicaciones. Esas aplicaciones parecían estar dirigidas a los vietnamitas, y ofrecían herramientas para encontrar iglesias cercanas en Vietnam y noticias en idioma vietnamita. En todos los casos, comenta Firsh, los piratas informáticos habían creado una nueva cuenta e incluso repositorios en Github para que los desarrolladores falsos hicieran aparecer las aplicaciones como legítimas y ocultaran sus huellas.