Il nuovo spyware di Turla registra l’audio e tiene traccia della posizione

Redazione RHC : 4 Aprile 2022 14:33

Gli specialisti di Lab52 sono stati in grado di collegare  un malware precedentemente sconosciuto per dispositivi Android con il famigerato gruppo di hacker Turla. 

I ricercatori hanno scoperto che l’applicazione utilizza l’infrastruttura precedentemente associata al gruppo.

Gli esperti hanno identificato un APK Process Manager dannoso che svolge il ruolo di spyware per i dispositivi Android che invia i dati verso l’infrastruttura controllata dai criminali informatici.

Prova la Demo di Business Log! Adaptive SOC italiano Log management non solo per la grande Azienda, ma una suite di Audit file, controllo USB, asset, sicurezza e un Security Operation Center PERSONALE, che ti riporta tutte le operazioni necessarie al tuo PC per tutelare i tuoi dati e informati in caso di problemi nel tuo ambiente privato o di lavoro. Scarica ora la Demo di Business Log per 30gg Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Come si verifica l’infezione non è ancora chiaro. Di norma, Turla distribuisce i suoi strumenti dannosi utilizzando attacchi di phishing, social engineering, watering-hole (infezione da malware attraverso siti compromessi visitati dalla vittima) e molto altro ancora.

Una volta installato, Process Manager tenta di nascondere la sua presenza sul dispositivo con un’icona a forma di ingranaggio, fingendosi un componente di sistema.

Dopo il primo avvio, l’applicazione ottiene 18 autorizzazioni:

• Accesso ai dati sulla posizione;
• Accesso allo stato della rete;
• Accesso allo stato Wi-Fi;
• Accesso alla telecamera;
• Accesso ad Internet;
• Autorizzazione a modificare le impostazioni audio;
• Autorizzazione a leggere i registri delle chiamate;
• Permesso di leggere elenchi di contatti;
• Permesso di leggere i dati in archivi esterni;
• Autorizzazione a scrivere dati su una memoria esterna;
• Permesso di leggere lo stato del telefono;
• Permesso di leggere i messaggi SMS;
• Permesso di registrare l’audio;
• Autorizzazione all’invio di SMS, ecc.

Non è ancora chiaro se il malware utilizzi il servizio di Accessibilità Android per ottenere i permessi o se li chieda direttamente all’utente.

Una volta concesse le autorizzazioni, lo spyware rimuove la sua icona e viene eseguito in background. Tuttavia, la sua presenza è segnalata da una notifica costante, cosa non tipica negli spyware, il cui compito principale è nascondere la propria presenza sul dispositivo.

Durante l’analisi del malware, il team di Lab52 ha anche scoperto che scarica payload aggiuntivi sul dispositivo e, in un caso, l’applicazione è stata persino scaricata direttamente dal Play Store.

L’app si chiama Roz Dhan: Earn Wallet cash (10 milioni di download) e ha un sistema di referral per generare denaro.

Sembra che il malware carichi l’APK attraverso il sistema di riferimento dell’app per guadagnare commissioni. Questo è molto strano, dal momento che Turla è specializzata in spionaggio informatico.

Questo fatto, così come l’implementazione relativamente semplice del malware, suggerisce che il server C&C analizzato dai ricercatori fa parte dell’infrastruttura utilizzata da diversi gruppi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli