Dalla Russia non è partita solo la tanto chiacchierata invasione dell’Ucraina ma, ultimamente, anche un virus molto pericoloso, che ascolta dai microfoni degli utenti, registra tutto e invia i dati agli hacker di stampo sovietico.
È stata scoperta, al riguardo, un’applicazione spyware Android che funge da servizio di “Gestione processi” per acquisire dati sensibili dai dispositivi infetti.
L’applicazione, che ha il nome del pacchetto “com.remote.app” e stabilisce la comunicazione con un server di comando e controllo remoto, 82.146.35[.]240, che è stato precedentemente identificato come infrastruttura appartenente alla banda di hacker Turla situata in Russia.
L’applicazione è disponibile su Google Play e viene utilizzata per guadagnare denaro
Secondo i ricercatori di Lab52: “Quando l’applicazione è in esecuzione – spiegano – viene visualizzato un avviso sulle autorizzazioni concesse all’applicazione. Questi includono tentativi di sblocco dello schermo, blocco dello schermo, impostazione del proxy globale del dispositivo, impostazione della scadenza della password di blocco dello schermo, impostazione della crittografia dell’archiviazione e disabiliazione delle telecamere”.
Una volta “attivato”, il virus nasconde la sua icona a forma di ingranaggio nella schermata iniziale e viene eseguito in background, sfruttando le ampie capacità dell’applicazione per accedere ai contatti e alla cronologia delle chiamate del dispositivo, tracciarne la posizione, inviare e leggere messaggi, accedere alla memoria esterna, scattare foto e registrare l’audio.
I dati raccolti vengono salvati in formato JSON e quindi inviati al server remoto specificato in precedenza. Nonostante l’uso dello stesso server C2, Lab52 afferma di non avere prove sufficienti per collegare il malware all’organizzazione Turla.
Anche l’effettivo vettore di accesso iniziale utilizzato per fornire il malware e gli obiettivi previsti della campagna sono sconosciuti in questo momento. Tuttavia, il software malevolo Android tenta anche di scaricare un’app legittima chiamata Roz Dhan che ha oltre 10 milioni di download e consente agli utenti di guadagnare incentivi in denaro completando sondaggi e quiz.
L’applicazione è disponibile su Google Play e viene utilizzata per guadagnare denaro, ha un sistema di riferimento abusato dal malware: l’attaccante lo installa sul dispositivo e realizza un profitto.
Turla, conosciuto anche con il nome di Uroboros, è un pacchetto Trojan che è sospettato da ricercatori di sicurezza informatica e ufficiali dell’intelligence occidentale come il prodotto dell’omonima agenzia governativa russa: sono circa quindici anni che ha preso di mira governi e forze armate, nel dicembre 2014 c’erano prove che prendesse di mira i sistemi operativi che eseguono Linux, ora è tornato più che mai d’attualità.
