Os pesquisadores da Kaspersky detectaram uma sofisticada campanha maliciosa direcionada a usuários de dispositivos Android que pode ser atribuída, com um nível médio de segurança, ao grupo especializado em ameaças persistentes avançadas (APT) chamado OceanLotus.
Intitulada de PhantomLance, ela está em atividade pelo menos desde 2015, apresenta várias versões de spyware – programa criado para coletar dados das vítimas – e táticas inteligentes de distribuição, que inclui sua presença em dezenas de apps na loja oficial Google Play.
Em julho de 2019, pesquisadores do mercado de segurança divulgaram uma nova amostra de spyware encontrada na loja de apps do Android.
Esse relato chamou a atenção da Kaspersky por suas características inesperadas; com sofisticação e comportamento muito diferentes dos trojans que normalmente são usados em ataques via apps em lojas de aplicativos oficiais.
Em geral, quando cibercriminosos conseguem colocar um app malicioso em uma loja oficial, eles investem consideravelmente para promovê-lo com o objetivo de ampliar ao máximo o potencial de vítimas infectadas.
Porém, não foi isso que aconteceu com os apps espiões recém-descobertos. Aparentemente, seus operadores não estavam interessados na disseminação em massa. Para os pesquisadores, este é um indício de atividade de APT direcionada.
Pesquisas adicionais possibilitaram a descoberta de várias versões deste malware com dezenas de amostras associadas por múltiplas semelhanças do código.
A Kaspersky reportou todas as amostras descobertas para os proprietários das lojas de aplicativos oficiais e o Google Play confirmou a retirada de todos os apps de sua loja.
