skip to Main Content

Cyber Espionage, APT-C-23 diffonde spyware attraverso falsi Telegram e Threema

di Pierguido Iezzi

Il gruppo di cyber espionage APT-C-23, che opera in Medio Oriente, usa false app Telegram e Threema per veicolare un nuovo spyware: Android/SpyC23.A

Lo spauracchio delle fake apps per Android è sempre più presente. Adesso, secondo uno studio pubblicato da ESET, un gruppo di Criminal Hacker (APT-C-23) che opera nel Medio Oriente ha aggiunto uno step a questa pratica andando ad impersonare piattaforme di messaggistica istantanea come Telegram e la meno popolare Threema in una nuova campagna. In quella che potrebbe essere vista come una mossa abbastanza ironica – visto e considerato che le due app citate sono spesso scelte perché offrono layer di privacy e sicurezza aggiuntivi rispetto a competitor come WhatsApp – i cloni di queste soluzioni vengono utilizzati dal cybercrime per diffondere una nuova variante di malware mai incontrata prima: Android/SpyC23.A.

Le capacità del nuovo malware Android/SpyC23.A

Il nuovo malware, che potrebbe essere lontanamente imparentato allo stesso utilizzato da APT-C-23 nel 2017, in questo caso A ha aggiunto funzionalità di spionaggio avanzate comprese:

  • Lettura delle notifiche dalle piattaforme di messaggistica istantanea;
  • Capacità di registrate schermate e telefonate;
  • Capacità di registrar chiamate sia in entrata sia in uscita, non solo attraverso la normale rete mobile, ma anche quelle effettuate attraverso WhatsApp, VIber, Skype…
  • Capacità avanzate di offuscamento in grado di nascondere le notifiche di sicurezza generate automaticamente da Android.

Al tempo della sua prima comparsa – appunto nel 2017 – il malware Android/SpyC23. era noto come Two Tailed Scorpion (scorpione a due code) ed era stato classificato come “survellianceware”, una parola che indica la sua abilita di sorvegliare e spiare attraverso i device. Oltre alle sue nuove capacità, mantiene tutte le funzionalità riscontrate nel suo predecessore come l’esfiltrazione di contatti, location, messaggi, foto e altri documenti sensibili.

APT-C-23 è un gruppo, specializzato nel cyber espionage, attivo già da tempo e che in passato ha collaborato anche con Hamas

APT-C-23, comunque non è nuovo a campagne di cyber espionage altamente sofisticate come queste. Nel 2018 aveva utilizzato una campagna molto simile che utilizzava un video player malevolo come esca per ingannare le vittime ad installare altri malware. L’APT- (alias AridViper o Desert Falcon) era l’autore – in collaborazione con Hamas – della campagna di Social Engineering in cui i suoi operatori si fingevano ragazze su vari social (come Facebook, Instagram e Telegram) per convincere soldati israeliani a installare applicazioni infette da malware nei loro telefoni.

Come funziona la catena d’infezione del codice malevolo

L’attacco vero e proprio nell’ultima campagna inizia quando la vittima prescelta visita un finto app store per Android e scarica applicazioni – come accennato – come Telegram Threema e weMessage. L’idea dietro questa scelta, secondo i ricercatori, è che utilizzando i servizi di messaggistica istantanea è più facile giustificare all’utente la necessità di dover fornire svariate autorizzazioni (come quella per accedere a rubrica, foto e posizione) necessarie per far funzionare il malware. Oltre a richiedere questi permessi altamente invasivi per leggere le notifiche, disattivare Google Play Protect e registrare lo schermo della vittima con la scusa di essere una modalità di protezione privacy; il malware comunica immediatamente con il server C2 per notificare della presenza di una nuova vittima e informare i Criminal Hacker su tutti i dettagli del dispositivo infetto.

I server C2 di APT-C-23 sono camuffati da siti web in costruzione e trasmettono ordini ai dispositivi infettati da Android/SpyC23

I Server C2 di APT-C-23, camuffati da siti web in costruzione, sono anche i responsabili della trasmissione degli ordini ai telefoni infetti dal malware. Stiamo parlando di azioni come la disinstallazione di App già presenti sul dispositivo, di disattivare la rete Wi-fi o registrare contenuti audio. A ciò si aggiunge la possibilità di effettuare chiamate “di nascosto”, oscurando lo schermo della vittima con una schermata nera.

Come proteggersi dai rischi di essere infettati dai malware in ambito Android

Gli app store non ufficiali sono da tempo uno dei canali principali scelti dal cybercrime come tramite per diffondere App contenenti malware. Ovviamente, il modo migliore per evitare di finire nella rete di gruppi come APT-C-23 è quello di limitare i propri download unicamente allo store ufficiale di Google Play. La vulnerabilità dei sistemi Android all’installazione di .apk non sicure, d’altronde, è così nota che l’azienda stessa si è vista costretta a creare il già citato Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone.  Oltre a questo dovrebbe essere best practice per tutti noi prendere attentamente in esame le varie autorizzazioni che le app richiedono una volta che decidiamo di installarle sul nostro telefono. Non si tratterà quasi mai di malware, ma comunque è bene ricordare che anche un’applicazione di foto ritocco non dovrebbe mai avere accesso alla nostra rubrica o alla nostra posizione. Come sempre il motto deve essere: Non abbassiamo la guardia!

Back To Top