
Gli specialisti di Lab52 sono stati in grado di collegare un malware precedentemente sconosciuto per dispositivi Android con il famigerato gruppo di hacker Turla.
I ricercatori hanno scoperto che l’applicazione utilizza l’infrastruttura precedentemente associata al gruppo.
Gli esperti hanno identificato un APK Process Manager dannoso che svolge il ruolo di spyware per i dispositivi Android che invia i dati verso l’infrastruttura controllata dai criminali informatici.
Academy - Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Come si verifica l’infezione non è ancora chiaro. Di norma, Turla distribuisce i suoi strumenti dannosi utilizzando attacchi di phishing, social engineering, watering-hole (infezione da malware attraverso siti compromessi visitati dalla vittima) e molto altro ancora.
Una volta installato, Process Manager tenta di nascondere la sua presenza sul dispositivo con un’icona a forma di ingranaggio, fingendosi un componente di sistema.
Dopo il primo avvio, l’applicazione ottiene 18 autorizzazioni:
Non è ancora chiaro se il malware utilizzi il servizio di Accessibilità Android per ottenere i permessi o se li chieda direttamente all’utente.
Una volta concesse le autorizzazioni, lo spyware rimuove la sua icona e viene eseguito in background. Tuttavia, la sua presenza è segnalata da una notifica costante, cosa non tipica negli spyware, il cui compito principale è nascondere la propria presenza sul dispositivo.
Durante l’analisi del malware, il team di Lab52 ha anche scoperto che scarica payload aggiuntivi sul dispositivo e, in un caso, l’applicazione è stata persino scaricata direttamente dal Play Store.
L’app si chiama Roz Dhan: Earn Wallet cash (10 milioni di download) e ha un sistema di referral per generare denaro.
Sembra che il malware carichi l’APK attraverso il sistema di riferimento dell’app per guadagnare commissioni. Questo è molto strano, dal momento che Turla è specializzata in spionaggio informatico.
Questo fatto, così come l’implementazione relativamente semplice del malware, suggerisce che il server C&C analizzato dai ricercatori fa parte dell’infrastruttura utilizzata da diversi gruppi.
Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

CulturaVuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? Se la risposta è SI, ti consigliamo di leggere questo articolo. Il panorama della sicurezza informatica cambia velocemente: nuove vulnerabilità,…
InnovazioneIl professore di informatica Geoffrey Hinton, uno dei fondatori delle moderne tecnologie di intelligenza artificiale, ha affermato che l’IA potrebbe portare a perdite di posti di lavoro su larga scala già nel 2026. Secondo lui,…
DirittiPrima di addentrarci nell’analisi, è bene precisare che questo contributo è la prima parte di una ricerca più estesa. Nel prossimo articolo esploreremo il conflitto tra algoritmi di rilevazione automatica e crittografia end-to-end (E2EE), analizzando…
HackingIl 31 dicembre, per i giocatori e gli utenti di computer più vecchi che puntano alle massime prestazioni, la versione ufficiale di Windows 11 sembra essere spesso troppo pesante. Tuttavia, il celebre Windows X-Lite ha…
Cyber ItaliaNel 2025 il ransomware in Italia non ha “alzato la testa”. Ce l’aveva già alzata da anni. Noi, semmai, abbiamo continuato a far finta di niente. E i numeri – quelli che finiscono in vetrina,…