Attenzione: nuovo spyware Android

[et_pb_section][et_pb_row][et_pb_column type=”4_4″][et_pb_text]

Un gruppo di hacker noto per i suoi attacchi in Medio Oriente, almeno dal 2017, è stato recentemente scoperto impersonare app di messaggistica legittime come Telegram e Threema per infettare i dispositivi Android con un nuovo malware precedentemente non documentato.

“Rispetto alle versioni documentate nel 2017, Android / SpyC23.A ha una funzionalità di spionaggio estesa, inclusa la lettura delle notifiche dalle app di messaggistica, la registrazione delle chiamate e la registrazione dello schermo e nuove funzionalità invisibili, come l’eliminazione delle notifiche dalle app di sicurezza Android integrate”, La società di sicurezza informatica ESET ha affermato in un’analisi mercoledì.

Descritto per la prima volta da Qihoo 360 nel 2017 con il soprannome di Two-tailed Scorpion (aka APT-C-23 o Desert Scorpion), il malware mobile è stato considerato “monitoringware” per la sua capacità di spiare i dispositivi di individui presi di mira, esfiltrando i registri delle chiamate , contatti, posizione, messaggi, foto e altri documenti sensibili nel processo.

Nel 2018, Symantec ha scoperto una variante più recente della campagna che utilizzava un lettore multimediale dannoso come esca per acquisire informazioni dal dispositivo e indurre le vittime a installare malware aggiuntivo.

Poi, all’inizio di quest’anno , Check Point Research ha dettagliato nuovi segni dell’attività di APT-C-23 quando gli operatori di Hamas si sono spacciati per ragazze adolescenti su Facebook, Instagram e Telegram per attirare i soldati israeliani a installare app infette da malware sui loro telefoni.

L’ultima versione dello spyware dettagliato da ESET espande queste funzionalità, inclusa la possibilità di raccogliere informazioni dai social media e dalle app di messaggistica tramite la registrazione dello schermo e gli screenshot, e persino acquisire le chiamate in entrata e in uscita in WhatsApp e leggere il testo delle notifiche dai social media app, tra cui WhatsApp, Viber, Facebook, Skype e Messenger.

L’infezione inizia quando una vittima visita un falso app store Android chiamato “DigitalApps” e scarica app come Telegram, Threema e weMessage, suggerendo che la motivazione del gruppo dietro l’imitazione di app di messaggistica è “giustificare le varie autorizzazioni richieste dal malware. “

Oltre a richiedere autorizzazioni invasive per leggere le notifiche, disattivare Google Play Protect e registrare lo schermo di un utente con il pretesto di funzioni di sicurezza e privacy, il malware comunica con il suo server di comando e controllo (C2) per registrare la vittima appena infettata e trasmettere le informazioni sul dispositivo.

I server C2, che in genere si mascherano come siti Web in manutenzione, sono anche responsabili della trasmissione dei comandi al telefono compromesso, che può essere utilizzato per registrare l’audio, riavviare il Wi-Fi, disinstallare qualsiasi app installata sul dispositivo, tra gli altri.

Inoltre, è dotato anche di una nuova funzionalità che gli consente di effettuare una chiamata furtivamente creando uno schermo nero in sovrimpressione per mascherare l’attività della chiamata.

“La nostra ricerca mostra che il gruppo APT-C-23 è ancora attivo, migliora il suo set di strumenti mobili ed esegue nuove operazioni. Android / SpyC32.A, la versione più recente dello spyware del gruppo, presenta diversi miglioramenti che lo rendono più pericoloso per le vittime”, ha affermato ESET .

Le app scaricate da app store fraudolenti di terze parti sono state un canale per il malware Android negli ultimi anni. È sempre essenziale attenersi a fonti ufficiali per limitare il rischio e controllare le autorizzazioni richieste dalle app prima di installarle sul dispositivo.

[/et_pb_text][/et_pb_column][/et_pb_row][/et_pb_section]