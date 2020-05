Di Pierguido Iezzi

È stata scoperta una nuova famiglia di malware per Android, che prende di mira le applicazioni come WhatsApp e Facebook Messenger per raccogliere informazioni sulle vittime.

Il malware, soprannominato WolfRAT, è in fase di sviluppo attivo ed è stato recentemente identificato in campagne rivolte agli utenti thailandesi. I ricercatori credono che il malware sia gestito da Wolf Research, un’organizzazione di spyware con sede in Germania che sviluppa e vende malware di spionaggio ai governi.

Inutile dirlo, i dettagli della chat, i messaggi di WhatsApp, i vari messenger e gli SMS del mondo portano con sé alcune informazioni sensibili, ma troppo spesso le persone scelgono di dimenticarle quando le comunicazioni avvengono sul loro telefono.

Il vettore dell’infezione, molto probabilmente, è stato inviato ai dispositivi degli utenti tramite link phishing/smishing. I ricercatori hanno anche scoperto che il dominio del server command-and-control (C2) si trova in Thailandia e contiene riferimenti al cibo thailandese, dando un indizio su quale potrebbe essere potenzialmente l’esca.

La Campagna

Una volta scaricato, WolfRAT emula servizi legittimi, come le applicazioni Google Play o gli aggiornamenti Flash, utilizzando le loro icone e i nomi dei pacchetti. Questi sono normalmente pacchetti funzionali, senza bisogno di interazione con l’utente.

Per esempio, il malware utilizza un nome di pacchetto (“com.google.services”) per fingere di essere un’applicazione Google Play.

Il nome appare abbastanza generico da far credere a un utente non esperto di tecnologia che sia collegato a Google e che sia una parte obbligatoria del sistema operativo Android. Se l’utente preme l’icona dell’applicazione, vedrà solo le informazioni generiche dell’applicazione Google iniettate dagli autori del malware.

Questo ha lo scopo di garantire che l’applicazione non venga disinstallata dalla vittima.

Scavando più a fondo, i ricercatori hanno scoperto che il RAT (remote access trojan) si basa su un malware precedentemente trapelato di nome DenDroid.

DenDroid è stato scoperto nel 2014 ed è abbastanza semplice (non sfrutta il framework di accessibilità Android, per esempio, come fanno molte famiglie di malware Android moderne). DenDroid contiene comandi basati sullo spionaggio per scattare foto e video, registrare audio e caricare immagini.

I ricercatori hanno individuato almeno quattro versioni principali del WolfRAT, a dimostrazione del fatto che è in una fase di “intenso sviluppo”.

In termini di cronologia, i ricercatori hanno identificato campioni che mostrano attività a partire da gennaio 2019, tuttavia, uno dei domini C2 è stato registrato nel 2017 (ponethus[.]com).

Queste versioni hanno rivelato diverse funzionalità, tra cui una funzione di registrazione su schermo.

Anche le versioni successive del malware presentano metodi tentati per accedere a diritti di accesso privilegiati (ossia autorizzazioni amministrative) sul dispositivo della vittima.

Un altro permesso aggiunto, READ_FRAME_BUFFER, può essere usato da un’applicazione per ottenere screenshot della schermata corrente del dispositivo (cioè; WhatsApp).

Aggiungendo a questa capacità, le versioni successive del malware cercano attivamente le attività di Facebook Messenger e WhatsApp.

Una volta aperte queste app, il malware prende gli screenshot e li carica sul C2.

I ricercatori hanno notato che l’aggiunta e la rimozione costante di pacchetti, insieme all’enorme quantità di codice inutilizzato e all’uso di tecniche vecchie e deprecate, denota una metodologia di sviluppo amatoriale.

I ricercatori hanno collegato la campagna a Wolf Research dopo aver individuato le sovrapposizioni delle infrastrutture e i riferimenti alle stringhe utilizzate in precedenza dal gruppo.

L’organizzazione sembra essere chiusa, hanno detto i ricercatori, ma i Criminal Hacker sono ancora molto attivi. I ricercatori ritengono che i suoi operatori stiano continuando a lavorare sotto le spoglie di una nuova organizzazione, chiamata LokD.