Gli operatori di sorveglianza Android saltano sul carro del timore del coronavirus

Seguici

Una campagna di sorveglianza di 11 mesi è l’ultima per sfruttare le paure della pandemia.

I ricercatori hanno scoperto una campagna di sorveglianza mobile che ha utilizzato più di 30 app Android dannose per spiare gli obiettivi negli ultimi 11 mesi. Due dei campioni più recenti stanno sfruttando il coronavirus nascondendo un software di sorveglianza standardizzato all’interno di app che promettono di fornire informazioni sulla pandemia in corso.

Una delle app, “corona live 1.1”, è una versione trojanizzata di “corona live”, un’app legittima che fornisce un’interfaccia ai dati trovati su questo tracker dalla Johns Hopkins University. Nell’app falsificata è sepolto un campione di SpyMax, un software di sorveglianza disponibile in commercio che offre agli aggressori il controllo in tempo reale dei dispositivi infetti. Una seconda app utilizzata nella stessa campagna si chiama “Crona”. La campagna, attiva al più tardi da aprile 2019, è stata scoperta dai ricercatori del fornitore di sicurezza mobile Lookout.

“Questa campagna di sorveglianza evidenzia come, in tempi di crisi, la nostra innata necessità di cercare informazioni possa essere utilizzata contro di noi per fini dannosi”, ha scritto la ricercatrice di ricerca Kristin Del Rosso in un post pubblicato mercoledì . “Inoltre, la commercializzazione di kit spyware standardizzati rende abbastanza facile per questi attori malvagi lanciare queste campagne su misura quasi con la stessa velocità con cui una crisi come COVID-19 prende piede.”

I ricercatori di Lookout hanno scoperto la campagna in corso durante l’analisi di “corona live 1.1”. Mentre l’app sembrava essere nelle prime fasi di sviluppo, aveva un indirizzo hardcoded del suo server di controllo. Nell’esaminare il dominio del server di controllo, i ricercatori hanno scoperto che veniva utilizzato da circa 29 altre app, tutte utilizzate anche da offerte di sorveglianza disponibili in commercio per spiare gli utenti finali.

Il campione più recente è stato ingerito martedì e sembra che i server di comando e controllo siano rimasti online quando questo post è stato pubblicato su Ars. Lookout ha affermato che le app non erano mai disponibili nel mercato di Google Play. Lookout deve ancora determinare come sono distribuite le app o quanti dispositivi sono stati infettati.

Spia fai da te

Mentre la maggior parte delle app sono state confezionate utilizzando nomi abbastanza generici, una di esse – “Libya Mobile Lookup” – ha suggerito che la campagna potrebbe essere destinata a persone nel paese nordafricano. Il server di controllo precedentemente risolto in indirizzi IP gestiti da Libyan Telecom and Technology, un ISP consumer. Gli aggressori hanno ospitato il server con l’uso di No-IP , un servizio che rende facile per i consumatori o operazioni molto piccole collegare i domini Internet agli indirizzi IP che cambiano frequentemente.

“La persona o il gruppo che gestisce la campagna è probabilmente in Libia e utilizza la propria infrastruttura per gestire il C2, o sta sfruttando l’infrastruttura che ha compromesso lì”, ha scritto Del Rosso. “Poiché le applicazioni sono anche rivolte in modo specifico agli utenti libici, questo sembra essere uno sforzo di sorveglianza mirato a livello regionale”.

Lookout non è l’unica società di sicurezza a rintracciare prodotti Android dannosi che sfruttano le ansie del coronavirus. Mercoledì scorso, il fornitore di antivirus Avast ha dichiarato di aver presentato apklab.io , una risorsa che consente ai ricercatori di contribuire ed esaminare malware Android con temi correlati alla pandemia. Il sito attualmente traccia oltre 450 APK. La scorsa settimana, i ricercatori di Domain Tools hanno rivelato l’esistenza di un’altra app Android dannosa che ha anche affermato di offrire mappe relative al virus.

SpyMax sembra essere stato sviluppato dalle stesse persone dietro un altro software di sorveglianza disponibile in commercio chiamato SpyNote. Altri software di sorveglianza utilizzati nella campagna includono SonicSpy, SandroRat e MobiHok. Sia SpyNote che MobiHok applicano tariffe relativamente basse e offrono anche assistenza agli utenti. Insieme a un semplice processo di checkout, le app facilitano l’acquisizione, la personalizzazione e la gestione dei propri strumenti di sorveglianza anche per i principianti.

Admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Solve : *
5 + 28 =