Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli specialisti di Lab52 sono stati in grado di collegare un malware precedentemente sconosciuto per dispositivi Android con il famigerato gruppo di hacker Turla.
I ricercatori hanno scoperto che l’applicazione utilizza l’infrastruttura precedentemente associata al gruppo.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli esperti hanno identificato un APK Process Manager dannoso che svolge il ruolo di spyware per i dispositivi Android che invia i dati verso l’infrastruttura controllata dai criminali informatici.
Come si verifica l’infezione non è ancora chiaro. Di norma, Turla distribuisce i suoi strumenti dannosi utilizzando attacchi di phishing, social engineering, watering-hole (infezione da malware attraverso siti compromessi visitati dalla vittima) e molto altro ancora.
Una volta installato, Process Manager tenta di nascondere la sua presenza sul dispositivo con un’icona a forma di ingranaggio, fingendosi un componente di sistema.
Dopo il primo avvio, l’applicazione ottiene 18 autorizzazioni:
Non è ancora chiaro se il malware utilizzi il servizio di Accessibilità Android per ottenere i permessi o se li chieda direttamente all’utente.
Una volta concesse le autorizzazioni, lo spyware rimuove la sua icona e viene eseguito in background. Tuttavia, la sua presenza è segnalata da una notifica costante, cosa non tipica negli spyware, il cui compito principale è nascondere la propria presenza sul dispositivo.
Durante l’analisi del malware, il team di Lab52 ha anche scoperto che scarica payload aggiuntivi sul dispositivo e, in un caso, l’applicazione è stata persino scaricata direttamente dal Play Store.
L’app si chiama Roz Dhan: Earn Wallet cash (10 milioni di download) e ha un sistema di referral per generare denaro.
Sembra che il malware carichi l’APK attraverso il sistema di riferimento dell’app per guadagnare commissioni. Questo è molto strano, dal momento che Turla è specializzata in spionaggio informatico.
Questo fatto, così come l’implementazione relativamente semplice del malware, suggerisce che il server C&C analizzato dai ricercatori fa parte dell’infrastruttura utilizzata da diversi gruppi.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
