Threat Database Spyware Android / Spy23C.A

Android / Spy23C.A

Android / Spy23C.A è una minaccia Trojan Android progettata per infiltrarsi e raccogliere vari dati sensibili dai dispositivi mobili Android. Secondo i ricercatori che l'hanno analizzata, questa particolare minaccia non è del tutto unica. Invece, rappresenta una versione modificata con funzionalità notevolmente ampliate della minaccia Android rilevata in precedenza che è stata osservata come parte del repertorio di un gruppo APT (Advanced Persistent Threat) chiamato APT-C-23 (aka Two-Tailed Scorpion o Desert Scorpion ). Le precedenti campagne minacciose di APT-C-23 erano dirette agli utenti in Medio Oriente e Android / Spy23C.A è stato utilizzato più o meno allo stesso modo.

Android / Spy23C.A è molto più potente delle versioni precedenti

Per svolgere le proprie attività di raccolta dati, Android / Spy23C.A deve prima convincere l'utente target a concedergli diversi permessi piuttosto invasivi. Questa potrebbe essere la ragione per cui i creatori del Trojan hanno deciso di utilizzare le applicazioni di messaggistica come un plausibile travestimento. Gli ingannevoli trucchi di social engineering iniziano ancor prima dell'installazione vera e propria, poiché Android / Spy23C.A chiederà di poter registrare audio e video, scattare foto, leggere e inviare SMS, nonché leggere e modificare i contatti sul dispositivo. Dopo l'installazione, la minaccia sfrutterà l'ignaro utente per espandere ulteriormente il proprio controllo sul dispositivo acquisendo autorizzazioni aggiuntive ma questa volta nascondendo le sue vere intenzioni dietro pretese fuorvianti per varie funzionalità. Ad esempio, il Trojan comunica all'utente che può effettuare chat video private ma in realtà sarà in grado di registrare lo schermo del dispositivo. In un altro caso, all'utente verrà chiesto di consentire la crittografia dei messaggi, il che farà sì che Android / Spy23C.A acquisisca la capacità di leggere le notifiche dell'utente.

Per nascondere la sua presenza e attività dannosa, il Trojan richiede alle sue vittime di installare manualmente l'applicazione di messaggistica legittima dopo essere stata eseguita. Il risultato è che l'utente ha accesso all'applicazione reale con tutte le sue funzioni mentre Android / Spy23C.A raccoglie i dati in background senza attirare molta attenzione in silenzio. In alcuni casi, tuttavia, quando il Trojan si maschera da WeMessage, AndroidUpdate e altri, le applicazioni scaricate dalle vittime servono solo come distrazione senza avere alcuna funzionalità reale.

Android / Spy23C.A possiede tutte le funzionalità delle versioni precedenti utilizzate da APT-C-23. Può esfiltrare registri delle chiamate, SMS, contatti, manipolare file sul dispositivo, disinstallare qualsiasi applicazione, raccogliere file con estensioni specifiche, registrare audio e scattare foto. La già impressionante gamma di abilità è stata ora ampliata per includere diverse nuove potenti funzioni. Android / Spy23C.A può effettuare chiamate mentre visualizza una schermata nera sul dispositivo per nascondere la sua attività. Per nascondere ulteriormente la sua presenza, la minaccia è in grado di ignorare varie notifiche dalle applicazioni di sicurezza a seconda del produttore specifico del dispositivo mobile, oltre a ignorare le proprie notifiche, una caratteristica piuttosto unica che secondo gli esperti di cybersecurity potrebbe essere usata per nascondere messaggi di errore specifici che potrebbero emergere durante le operazioni del Trojan.

Android / Spy23C.A è distribuito tramite un falso Application Store

Come accennato in precedenza, la strategia principale di Android / Spy23C.A è rappresentarsi come applicazioni di messaggistica legittime. Per consegnarli agli utenti mirati, il gruppo di hacker ha creato un falso negozio di applicazioni Android e ha nascosto le applicazioni minacciose tra diverse applicazioni legittime. Le applicazioni particolari che trasportavano la minaccia erano AndroidUpdate, Threema e Telegram. Per limitare le possibilità di download accidentali da parte di bersagli involontari, i criminali adottano una misura di verifica: gli utenti devono inserire un codice coupon a sei cifre per avviare il download delle applicazioni minacciose.

Il fake application store non è l'unico metodo di distribuzione impiegato da APT-C-23, evidenziato dal fatto che il loro strumento Trojan è stato osservato come l'applicazione WeMessage, che non è tra le applicazioni disponibili sul fake store. Con una decisione piuttosto strana, sembra che gli hacker abbiano creato la propria grafica e interfaccia utente personalizzate poiché l'applicazione impostore non condivide somiglianze con l'applicazione legittima di WeMessage oltre al nome.

Tendenza

I più visti

Caricamento in corso...