Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
LunaSpy è un tipo di Trojan per Android distribuito tramite smartphone già infetti, i quali vengono consegnati alle vittime principalmente del settore bancario. Il malware arriva con le autorizzazioni attive e si finge un "antivirus di sistema", avviando attività di spionaggio come ad esempio la registrazione audio, la cattura di immagini dallo schermo e il furto di dati sensibili. L’attacco è rilevante perché elimina la necessità di installazione da parte dell’utente, rendendo la compromissione immediata e difficile da rilevare.
Gli specialisti di F6 hanno messo in guardia contro il Trojan Android LunaSpy, che gli aggressori diffondono alle vittime in un modo piuttosto insolito: insieme al loro smartphone. Ciò significa che l’utente riceve un dispositivo con il malware già installato e configurato.
Secondo i ricercatori, gli attacchi di LunaSpy sono mirati e prendono di mira i clienti del settore bancario. In totale, gli specialisti hanno registrato circa 300 attacchi di questo tipo.
Lo schema è il seguente: innanzitutto, gli aggressori contattano la vittima tramite tecniche di ingegneria sociale, quindi le consegnano un dispositivo Android con malware preinstallato (ad esempio, convincendo la vittima che tale smartphone garantisce privacy e sicurezza). Sullo smartphone, LunaSpy dispone già di tutte le autorizzazioni necessarie: diritti di amministratore, accesso ai servizi di accessibilità e avvio automatico in background.
Il malware si maschera da antivirus integrato nel framework di sistema e imita l’interfaccia di un’applicazione di sicurezza, invitando l’utente ad avviare una “scansione“. Naturalmente, i risultati di questa “scansione” (il numero di file e minacce rilevati) sono generati in modo casuale.
Infatti, quando si fa clic sul pulsante “Avvia scansione”, vengono avviati quattro servizi in background: registrazione del microfono (Sound), acquisizione dello schermo (SDisplay), trasmissione della telecamera (SCamera) e raccolta dati su comando dal server di controllo (SData).
Le capacità di LunaSpy sono impressionanti.
Il malware può registrare l’audio (anche utilizzando il codec OPUS per la compressione), acquisire video dalle fotocamere del dispositivo con qualità variabile, intercettare il contenuto dello schermo, rubare messaggi SMS, contatti, cronologia delle chiamate, dati di geolocalizzazione, informazioni sulla scheda SIM, interfacce di rete e informazioni sulla batteria. Inoltre, il malware monitora l’avvio del browser e delle app di messaggistica e intercetta le password inserite tramite i servizi di accessibilità.
Il rapporto degli esperti evidenzia anche il meccanismo di autodifesa del malware. LunaSpy monitora lo schermo del dispositivo alla ricerca di elementi associati ai tentativi di disinstallazione delle app. Se l’utente accede alle impostazioni dell’app, alle proprietà del Trojan o tenta di disinstallarlo, il malware preme automaticamente il pulsante “Indietro” e invia un rapporto al server dei suoi gestori.
Per comunicare con la propria infrastruttura di controllo, LunaSpy utilizza un pool di indirizzi di dominio con indirizzi IP a rotazione: se un server diventa non disponibile, il malware passa a un altro. Nel campione analizzato, gli analisti hanno trovato 18 di questi pool, sebbene solo uno fosse attivamente utilizzato.
Inoltre, sullo smartphone infetto è stata scoperta un’applicazione di messaggistica basata su Matrix, utilizzata dagli aggressori per comunicare con la vittima. Il backend dell’applicazione di messaggistica girava sui server dei criminali, il che significa che non avevano bisogno di piattaforme accessibili pubblicamente.
Gli analisti osservano che questo vettore di attacco, ovvero la distribuzione di un dispositivo infetto, potrebbe continuare a evolversi. Ciò significa che gli aggressori non hanno bisogno di convincere le vittime a installare l’app o a concedere loro le autorizzazioni: tutto questo è già stato fatto.
