I ricercatori di Lab52 hanno scoperto un nuovo malware sviluppato per smartphone Android che circola sotto forma di file APK (file di installazione delle app per il sistema operativo smartphone/tablet Android): l’analisi suggerisce collegamenti con il noto gruppo russo Turla specializzato in spionaggio informatico.
Il pericolo è l’accesso ai microfoni, ai registri delle chiamate, ai messaggi, alla fotocamera e alla posizione geografica del dispositivo.
Indice degli argomenti
Process Manager, un’app pericolosa
Dalle analisi dei ricercatori è emerso che l’APK contiene un’applicazione spyware Process Manager che, una volta installata sul dispositivo target, appare come la classica icona di “Impostazioni”.
Si fa notare che l’applicazione non è presente su Play Store, ma viene scambiata e diffusa attraverso altri canali alternativi come chat, forum, pagine web e messaggi di posta elettronica.
Non ci sono, al momento, prove inequivocabili tali da attribuire questo nuovo malware effettivamente al gruppo Turla, ma la ricerca si è focalizzata sull’unico indizio che ha fatto ipotizzare questa attribuzione: il collegamento al server C2 (comando e controllo) 82.146.35[.]240, ovvero un IP rilevato finora unicamente in attacchi attribuiti con certezza a Turla.
Una volta installata, l’app malevola Process Manager cancella persino la sua icona dalla Home e rimane attiva in background, in modo da agire indisturbata e in maniera “invisibile”.
Attenzione alle autorizzazioni su smartphone
Inoltre, non appena l’app Process Manager si installa sullo smartphone, richiede una serie di autorizzazioni, che solitamente gli utenti confermano senza dare troppa importanza.
In questo caso, il numero delle autorizzazioni richieste è veramente alto rispetto alla media degli spyware in circolazione, a dimostrazione del fatto che questa nuova app mira a ottenere un controllo il più completo e accurato possibile sul dispositivo infetto della vittima.
Sono infatti 18 le autorizzazione che i ricercatori hanno identificato tra le richieste che l’app fa al suo primo avvio. Con questa serie di autorizzazioni il virus è capace di funzionare senza limiti e indisturbato, da quel momento in poi avrà l’accesso alla quasi totalità dei servizi e funzionalità dello smartphone preso di mira.
Tra le varie funzionalità che il malware riesce a controllare evidenziamo:
- blocco/sblocco schermo
- posizione (GPS) del dispositivo
- impostazioni di rete
- fotocamera
- impostazioni audio
- registri delle chiamate
- contatti
- memoria esterna (eventuale)
- messaggi SMS
- stato del telefono
- registrazione audio
Anche solo da questo ristretto elenco si capisce quanto sia invasiva la persistenza di questa app all’interno di un dispositivo, soprattutto in considerazione del fatto che lo scopo primario degli spyware come questo è quello di comunicare (appena c’è la possibilità data da una connessione Internet) tutti gli input che ha catturato verso il server C&C, il cui controllo è affidato al gruppo criminale che ha lanciato l’attacco.
Questo comporta, ovviamente, la perdita di una quantità rilevante di dati personali e sensibili archiviati nella memoria dello smartphone.
Da segnalare, inoltre, che la trasmissione verso il server di comando e controllo avviene per mezzo del formato JSON, appositamente predisposto dal malware, con dentro i dati catturati nel dispositivo infetto.
Da una analisi di Virus Total si evidenzia che 40 vendors di sicurezza su 63 riconoscono il nuovo malware come tale e quindi file sospetto. Nell’analisi, inoltre, è possibile trovare tutti gli hash utili da utilizzare come IoC per questa minaccia, proprio per alimentare gli eventuali strumenti atti al rilevamento nei propri sistemi.
Una variante Turla con un movente economico
La stessa ricerca di Lab52 evidenzia come, in presenza di connessione alla rete, lo spyware sviluppato in Process Manager tenta di scaricare e installare anche una seconda app, stavolta legittima, di guadagno online.
Si chiama Roz Dhan, è presente anche in Play Store di Google ed è popolare in India (oltre 10 milioni di installazioni attive). Si tratta di una sorta di portafoglio elettronico che consente di guadagnare denaro tramite partnership e inviti all’installazione dell’applicazione.
Un dettaglio, questo dell’installazione della seconda app legittima, che fa pensare a un movente economico, oltre che di spionaggio per questa nuova campagna criminale. Di fatto, un certo numero di installazioni, predisposte ad hoc, farebbe accrescere la monetizzazione di un referrer specifico, in questo caso il gruppo che ha lanciato l’attacco con il malware.
Cosa fare per difendersi dalla minaccia Turla
Attacchi come questi giungono al successo soprattutto sfruttando il fattore umano. Senza l’aiuto dell’utente vittima, gran parte degli attacchi spyware, anche questo nello specifico, non sarebbero possibili.
Infatti, se tra le nostre abitudini c’è quella (buona) di installare unicamente app dal Play Store o da app store ufficiali e di cui se ne conosce l’origine limitiamo di gran lunga la nostra esposizione al rischio infezione.
Installando un APK ricevuto via chat, via e-mail o scaricato da una pagina web di dubbia provenienza, veniamo esposti automaticamente ad un rischio che potrebbe sfuggire al nostro controllo.
Oltre questo, non dobbiamo mai sottovalutare le autorizzazioni che concediamo alle applicazioni che installiamo sugli smartphone. Soprattutto in fase di concessione, chiedersi e leggere sempre che tipo di concessione stiamo fornendo e riflettere sul fatto se quest’ultima sia effettivamente necessaria allo svolgimento dei compiti per i quali la app da noi scelta è stata sviluppata.
È sempre più prudenziale assumere un comportamento critico nei confronti delle azioni che svolgiamo con i nostri dispositivi, piuttosto che agire passivamente agli input che ci vengono forniti.