Campanha, ativa desde pelo menos 2015, apresenta várias versões de um spyware complexo e distribuído através de dezenas de aplicativos na loja do Google
Uma nova campanha de espionagem cibernética que vem usando a Google Play Store para distribuir malware há quatro anos acaba de ser descoberta por pesquisadores da Kaspersky. Batizada por eles de “PhantomLance”, a campanha utiliza o Android para difundir o malware e está vinculada ao grupo hacker OceanLotus, também conhecido como APT32, que se acredita ser apoiado pelo governo vietnamita.
Embora a campanha seja direcionada a usuários do Android em vários países, incluindo Vietnã, Índia, Indonésia, Malásia, Bangladesh, Irã e Mianmar, ela parece ser particularmente focada em usuários do Vietnã. Mas os pesquisadores não descartam que ela já tenha chegado a outras regiões do mundo.
“[A] campanha está ativa desde pelo menos 2015 e ainda está em andamento, apresentando várias versões de um spyware complexo [software criado para coletar dados das vítimas] e táticas de distribuição inteligente, incluindo a distribuição através de dezenas de aplicativos na Google Play”, diz a Kaspersky.
Veja isto
Google Play Protect fica em último em ranking de segurança
Trojan oculto na Google Play mira cliente Santander
Os pesquisadores da Kaspersky descobriram a campanha depois que a equipe da Doctor Web publicou detalhes de um novo trojan de backdoor que eles encontraram escondido em um aplicativo, disponível na Google Play, disfarçado de plug-in do OpenGL.
Depois de baixado e iniciado por um usuário do Android, o aplicativo simulou uma verificação de uma versão mais recente do OpenGL ES. No entanto, instalou uma backdoor (porta dos fundos) para filtrar as informações do usuário do dispositivo.
A Doctor Web revelou que o trojan era mais complexo do que outros programas de malware que estavam sendo usados por hackers para roubar credenciais e informações financeiras de dispositivos Android.
A Kaspersky diz ter encontrado muitos aplicativos maliciosos, que estão ligados ao “PhantomLance” e estão divulgando uma amostra semelhante do novo trojan na Google Play. Muitos desses aplicativos maliciosos dizem ajudar os usuários a localizar bares ou igrejas próximas no Vietnã.
Os pesquisadores rastrearam várias variações do malware “PhantomLance” nos últimos meses e todos eles são capazes de roubar contatos, registros de chamadas telefônicas, mensagens SMS, dados de GPS e outras informações confidenciais do dispositivo infectado.
A Kaspersky informou que relatou todos os aplicativos maliciosos encontrados na Play Store ao Google, e todos esses aplicativos foram removidos da loja.
O APT32 é um grupo apoiado pelo governo do Vietnã que já visava muitas empresas estrangeiras que investem no país. O grupo também tem como alvo institutos de pesquisa, agências de mídia, grupos de direitos humanos e várias outras organizações em países estrangeiros. Recentemente, notou-se que o APT32 visava agências estatais chinesas para roubar informações valiosas relacionadas à covid-19.
A empresa americana de segurança cibernética FireEye diz que os ataques de spear-phishing do APT32 estão em andamento desde janeiro de 2020, com os hackers tentando comprometer contas de e-mail pessoais e profissionais de pessoas que trabalham para o governo de Wuhan e o Ministério de Emergência da China.
