TangleBot, il malware Android che usa SMS a tema Covid per rubare password e dati sensibili - Cyber Security 360

L'ANALISI TECNICA

TangleBot, il malware Android che usa SMS a tema Covid per rubare password e dati sensibili

Si chiama TangleBot il nuovo malware per Android che sfrutta SMS a tema Covid-19 per indurre le vittime a scaricare il codice malevolo. Una volta installato, poi, ruba dati sensibili e attiva il microfono e la fotocamera dello smartphone per catturare registrazioni ambientali. Ecco i dettagli e i consigli per difendersi

11 Ott 2021
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È stata rilevata una nuova campagna smishing (phishing via SMS) per la diffusione del malware TangleBot che prende di mira i dispositivi Android sfruttando temi relativi alla Covid-19 per convincere le vittime a cliccare su link malevoli contenuti nei messaggi di testo.

Tale campagna malevola, identificata dai ricercatori Proofpoint, propina non solo notifiche mediche Covid e convocazioni vaccinali anti-coronavirus, ma anche avvisi di controllo per potenziali guasti alla fornitura elettrica.

Immagine che contiene testoDescrizione generata automaticamente

La catena d’infezione del malware TangleBot

Cliccando sui collegamenti contenuti nei messaggi di testo, agli utenti ignari vengono presentate per l’installazione di un’applicazione, una serie di finestre di dialogo che richiedono il consenso a vari permessi di accesso.

Gli autori della campagna tentano, così, di sfruttare la solita tendenza dell’utente a ignorare gli avvisi e a proseguire nelle installazioni software con molta superficialità.

Nell’immagine seguente sono indicati i permessi richiesti da TangleBot.

Immagine che contiene tavoloDescrizione generata automaticamente

Nella fattispecie gli attori criminali, puntando anche sulla cattiva informazione, spacciano addirittura un aggiornamento Adobe Flash Player che sarebbe necessario per visualizzare il resto dei contenuti e l’installazione completa del malware nascosto (Adobe Flash Player, come noto, non è più supportato dal 2012 su nessun dispositivo mobile).

Una volta installato con i vari permessi di accesso ottenuti, il malware consente il tracciamento delle comunicazioni e la sottrazione di dati sensibili e relativi all’attività di rete, trasmettendo le informazioni rubate ai sistemi presidiati dall’autore della minaccia tramite una particolare infrastruttura C2.

Infrastruttura C2, configurazione e comandi

Per la configurazione dell’infrastruttura C2 e la relativa comunicazione con i dispositivi infetti, il piano criminale utilizza la messaggistica dei social media: in particolare, nei campioni rilevati la messaggistica in uso sarebbe quella diffusa all’interno di post criptici di Telegram.

immagine-20211001134835-15

Il dispositivo infetto dopo avere recepito i modelli definiti di configurazione e stabilita la connettività con la cabina di regia, può ricevere tutte le istruzioni necessarie e successive.

In particolare una corposa lista di comandi disponibili consentirebbe il monitoraggio, la manipolazione dei dati dell’utente e il furto di informazioni riservate.

Tra le principali funzionalità di TangleBot segnalate dagli analisti figurano:

  • l’iniezione HTML che potrebbe essere utilizzata per generare schermate di sovrapposizione di applicazioni false (attacchi overlay);
  • il servizio di localizzazione GPS per identificare la posizione del dispositivo e pianficare attacchi in base alla posizione geografica e lingua del target;
  • la registrazione vocale via microfono che potrebbe essere utilizzata per impersonare i modelli di identificazione biometrica vocale o per generare audio deepfake;
  • la funzione chiamata per attivare servizi premium o per avviare una chiamata impersonando le vittime.

I consigli per difendersi dal malware TangleBot

TangleBot, pur condividendo alcune somiglianze con il malware Medusa, avrebbe secondo i ricercatori alcune caratteristiche distintive chiave che lo renderebbero particolarmente pericoloso, come le capacità di trasmissione e l’uso di una routine di decrittografia delle stringhe come parte dei numerosi livelli di offuscamento utilizzati per nascondere lo scopo e la funzionalità del proprio codice (questo il motivo per il quale si sarebbe scelto di nominarlo TangleBot ovvero “Bot Matassa”).

Sebbene Proofpoint abbia collaborato con Google Play Protect per garantire la più ampia protezione possibile contro questa particolare minaccia, per salvaguardarsi da campagne malevole simili e sempre più dilaganti in ambiente Android risulta sempre raccomandabile seguire perlomeno delle misure minime di sicurezza:

  • verificare sempre l’attendibilità delle app utilizzate, confrontandosi con i relativi servizi client e controllare le valutazioni degli utenti prima di installarle;
  • affidarsi sempre, anche se con cautela, agli store noti: Google Play resta sempre e comunque una fonte attendibile;
  • prestare attenzione alle autorizzazioni richieste dai processi d’installazione delle app, concedendole solo se sicuri che siano necessarie per il corretto funzionamento;
  • scansionare regolarmente il proprio dispositivo mobile per la ricerca delle minacce più recenti con sistemi antivirus aggiornati;
  • controllare periodicamente gli aggiornamenti e le patch di sicurezza rilasciate periodicamente per i sistemi operativi Android.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5