Elibomi Android Malware

Una nuova famiglia di malware Android di phishing è stata individuata utilizzata in attacchi dal vivo da parte di criminali informatici. La minaccia è stata scoperta dai ricercatori che l'hanno chiamata Elibomi. La minaccia si basa su tattiche di ingegneria sociale e false applicazioni Android per raccogliere informazioni dalle sue vittime ed esfiltrarle nei server sotto il controllo degli hacker.

Primo attacco Elibomi

Il primo attacco che ha coinvolto la minaccia Elibomi è avvenuto alla fine del 2020. Gli attori della minaccia hanno consegnato una falsa applicazione di "Certificato IT" ai dispositivi delle loro vittime. L'applicazione armata imitava un modulo di gestione dei certificati IT che fingeva di convalidare il dispositivo con un server inesistente. L'applicazione richiede di ricevere le autorizzazioni SMS, nonché i privilegi di amministratore. Quest'ultimo è probabilmente abusato per rendere più difficili i tentativi di rimozione. Mentre alle vittime viene presentata una "scansione di sicurezza" fittizia in background, l'applicazione raccoglie informazioni sensibili come e-mail, numeri di telefono, messaggi SMS/MMS memorizzati e altro ancora.

Secondo attacco Elibomi

La campagna più recente che ha schierato la minaccia Elibomi ha preso di mira i contribuenti indiani. Gli hacker hanno cambiato l'identità della loro applicazione falsa e ora è stata presentata come un'applicazione di dichiarazione dei redditi. L'attacco inizia con la diffusione di messaggi SMS mirati che affermano di provenire dall'Income Tax Department of India. Per apparire più legittimi, i messaggi di richiamo menzionano i nomi degli individui presi di mira. L'obiettivo in questa fase è convincere la vittima a fare clic sul collegamento fornito con il falso pretesto che ci sia stato un aggiornamento urgente dei suoi rimborsi delle imposte sul reddito.

I collegamenti corrotti portano a una pagina di phishing che afferma di appartenere nuovamente all'Income Tax Department indiano. La pagina di phishing indirizza gli utenti a scaricare l'applicazione che porta segretamente la minaccia Elibomi. Il pacchetto dell'applicazione minacciosa è denominato seguendo lo schema: parola casuale.stringa casuale.imobile. I ricercatori di infosec hanno scoperto diverse versioni dell'applicazione falsa da distribuire con alcune che mostravano solo una pagina di accesso falsa mentre altre possedevano anche un'opzione per la registrazione falsa e le richieste di rimborso delle tasse.

La minaccia Elibomi cattura nuovamente i dati sensibili dal dispositivo compromesso, nonché qualsiasi informazione finanziaria che riesce a ottenere dalle sue vittime. Può ottenere e-mail, numeri di telefono, messaggi SMS/MMS, dati finanziari e informazioni di identificazione personale. Stranamente, i dati raccolti sono stati caricati su server aperti a Internet, esponendo efficacemente le informazioni della vittima al pubblico. Gli hacker potrebbero aver notato che il loro errore è stato scoperto e le informazioni raccolte non sono più disponibili.