Il nuovo spyware di Turla registra l’audio e tiene traccia della posizione

Redazione RHC : 4 Aprile 2022 14:33

Gli specialisti di Lab52 sono stati in grado di collegare  un malware precedentemente sconosciuto per dispositivi Android con il famigerato gruppo di hacker Turla. 

I ricercatori hanno scoperto che l’applicazione utilizza l’infrastruttura precedentemente associata al gruppo.

Gli esperti hanno identificato un APK Process Manager dannoso che svolge il ruolo di spyware per i dispositivi Android che invia i dati verso l’infrastruttura controllata dai criminali informatici.

Come si verifica l’infezione non è ancora chiaro. Di norma, Turla distribuisce i suoi strumenti dannosi utilizzando attacchi di phishing, social engineering, watering-hole (infezione da malware attraverso siti compromessi visitati dalla vittima) e molto altro ancora.

Una volta installato, Process Manager tenta di nascondere la sua presenza sul dispositivo con un’icona a forma di ingranaggio, fingendosi un componente di sistema.

Dopo il primo avvio, l’applicazione ottiene 18 autorizzazioni:

• Accesso ai dati sulla posizione;
• Accesso allo stato della rete;
• Accesso allo stato Wi-Fi;
• Accesso alla telecamera;
• Accesso ad Internet;
• Autorizzazione a modificare le impostazioni audio;
• Autorizzazione a leggere i registri delle chiamate;
• Permesso di leggere elenchi di contatti;
• Permesso di leggere i dati in archivi esterni;
• Autorizzazione a scrivere dati su una memoria esterna;
• Permesso di leggere lo stato del telefono;
• Permesso di leggere i messaggi SMS;
• Permesso di registrare l’audio;
• Autorizzazione all’invio di SMS, ecc.

Non è ancora chiaro se il malware utilizzi il servizio di Accessibilità Android per ottenere i permessi o se li chieda direttamente all’utente.

Una volta concesse le autorizzazioni, lo spyware rimuove la sua icona e viene eseguito in background. Tuttavia, la sua presenza è segnalata da una notifica costante, cosa non tipica negli spyware, il cui compito principale è nascondere la propria presenza sul dispositivo.

Durante l’analisi del malware, il team di Lab52 ha anche scoperto che scarica payload aggiuntivi sul dispositivo e, in un caso, l’applicazione è stata persino scaricata direttamente dal Play Store.

L’app si chiama Roz Dhan: Earn Wallet cash (10 milioni di download) e ha un sistema di referral per generare denaro.

Sembra che il malware carichi l’APK attraverso il sistema di riferimento dell’app per guadagnare commissioni. Questo è molto strano, dal momento che Turla è specializzata in spionaggio informatico.

Questo fatto, così come l’implementazione relativamente semplice del malware, suggerisce che il server C&C analizzato dai ricercatori fa parte dell’infrastruttura utilizzata da diversi gruppi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.