Pesquisadores da firma especializada em segurança Kaspersky descobriram que um grupo de hackers está usando a loja de aplicativos Google Play Store para distribuir spyware há alguns anos já. Segundo a pesquisa, os criminosos inicialmente implementam versões limpas dos apps, mas os programas são atualizados com o malware depois de serem aprovados pela Google.

A campanha maliciosa se chama PhantomLance e está ativa desde pelo menos 2015. Até o momento em que esta notícia foi escrita, os aplicativos ainda estão disponíveis na Play Store podem ser baixados por pessoas desavisadas.

O grupo de hackers implantou múltiplas versões de um spyware sofisticado nesses apps. Esse malware foi criado para reunir dados de vítimas e dos seus smartphones. A campanha dos criminosos também mirou lojas de aplicativos alternativas do Android, como a APKpure e a APKCombo.

Fonte: Kaspersky

De acordo com os pesquisadores da Kaspersky, os ataques do PhantomLance foram combinados com outros ataques que têm como alvo dispositivos com sistemas operacionais Windows e macOS.

Toda essa ação maliciosa foi atribuída a um grupo de hackers conhecido como OceanLotus, que estaria baseado no Vietnã. Eles também são conhecidos como APT32.

Ainda segundo a pesquisa, o spyware em questão é muito mais complexo do que os malwares tipicamente usados para roubar informações financeiras e credenciais de usuários do Android do Sudeste Asiático.

A maioria das pessoas afetadas pelo PhantomLance vivem no Vietnã ou na China. O spyware foi capaz de obter informações como geolocalização, registros de chamadas, contatos, mensagens de texto, lista de aplicativos instalados e informações do dispositivo.