Una nuova minaccia informatica è stata scoperta dai ricercatori di Doctor Web: si tratta di una campagna su larga scala, ribattezzata Shibai, che coinvolge smartphone Android contraffatti, venduti con una versione modificata e malevola di WhatsApp, progettata per rubare criptovalute agli utenti.
“Ora gli aggressori sono passati al livello successivo, ottenendo l’accesso alla catena di fornitura di diversi produttori cinesi di smartphone Android”, spiega Doctor Web, specificando che “Le applicazioni fraudolente sono state rilevate direttamente nel software preinstallato sul telefono”.
Fonte: Doctor Web.
La campagna malevola avrebbe sfruttato oltre 60 server di comando e controllo e circa 30 domini per diffondere e coordinare l’attività del malware.
Alcuni wallet riconducibili agli attaccanti avrebbero già accumulato notevoli somme in criptovalute, confermando il successo delle operazioni.
Fonte: Doctor Web.
Indice degli argomenti
Come funziona l’attacco
I dispositivi coinvolti, spesso spacciati per modelli di fascia alta come “S23 Ultra” o “Note 13 Pro”, sono in realtà cloni con specifiche hardware inferiori.
All’interno del sistema operativo di questi dispositivi è presente una versione trojanizzata di WhatsApp, creata con lo strumento LSPatch.
“Questo framework consente di modificare il comportamento dell’applicazione principale, senza alterarne il codice, e di caricare moduli software aggiuntivi”, si legge nel rapporto pubblicato da Doctor Web.
Ma, secondo il rapporto di Doctor Web, i ricercatori avrebbero trovato dispositivi anche con altre false app e afferenti a Telegram, portafogli crittografici come Trust Wallet e MathWallet e lettori di codici QR.
Queste app modificate sarebbero in grado di monitorare gli appunti del sistema e tramite una componente clipper sostituire automaticamente gli indirizzi di wallet di criptovaluta (Tron ed Ethereum) copiati dall’utente con quelli degli attaccanti.
Un clipper, lo ricordiamo, è un tipo di malware progettato per intercettare e manipolare gli appunti (clipboard) del sistema operativo, solitamente per rubare criptovalute o altri dati sensibili. In questo modo, qualsiasi transazione effettuata finisce direttamente nelle mani dei criminali.
Ma le app malware in oggetto non si limiterebbero a manipolare gli appunti. Effettuerebbero anche una scansione delle cartelle del dispositivo alla ricerca di immagini contenenti frasi mnemoniche, codici o screenshot sensibili, che vengono successivamente inviati ai server C2 presidiati. Inoltre, raccoglierebbero informazioni sul dispositivo, monitorando le comunicazioni alla ricerca di contenuti legati alle criptovalute.
Infine, recupererebbero gli aggiornamenti da domini non ufficiali e controllati dai truffatori, garantendo la funzionalità dell’app.
Fonte: Doctor Web.
Come proteggersi
Il rapporto di Doctor Web consiglia, per verificare l’autenticità delle specifiche hardware di un dispositivo, l’utilizzo di strumenti come DevCheck, poiché questi modelli di smartphone contraffatti spesso manipolano i dettagli del sistema, riuscendo anche a falsificare le informazioni di sistema ricavate da applicazioni note come CPU-Z o AIDA64.
Si raccomanda di:
- Diffidare di smartphone troppo economici che promettono caratteristiche premium.
- Scaricare applicazioni esclusivamente da fonti attendibili come Google Play Store, RuStore e AppGallery.
- Non salvare in chiaro immagini o documenti contenenti frasi segrete o chiavi private.
- Installare antivirus anche sugli smartphone per monitorare e bloccare questo tipo di minacce.
