Firestarter Trojan

Il Firestarter Trojan è un nuovo malware per caricatore Android che abusa del servizio Firebase Cloud Messaging (FCM) legittimo per comunicare con la sua infrastruttura Command-and-Control (C2, C&C). Firebase è una sussidiaria del gigante tecnologico Google e il loro servizio FCM è uno strumento cloud multipiattaforma per messaggi e notifiche per Android, iOS e altre applicazioni Web.

Il Trojan Firestarter è stato rilevato come parte delle operazioni del gruppo di minacce persistenti avanzate chiamato DoNot. La minaccia malware mostra gli sforzi di DoNot per rafforzare la persistenza dei punti d'appoggio stabiliti sui dispositivi compromessi. Dimostra anche la capacità degli hacker di adottare nuove tecniche e implementarle rapidamente nei loro strumenti malware. L'obiettivo principale di DoNot è rimasto nella regione dell'Asia meridionale e, più specificamente, in India e Pakistan.

Sebbene non sia stato confermato in modo decisivo, il vettore di distribuzione più probabile del caricatore Firestarter è attraverso messaggi diretti socialmente ingegnerizzati che cercano di indurre gli utenti ignari a installare un'applicazione minacciosa che finge di essere una piattaforma di chat. I nomi dei file dell'applicazione - ashmir_sample.apk o Kashmir_Voice_v4.8.apk, mostrano il continuo interesse di DoNot per la crisi del Kashmir.

Firestarter Trojan abusa del servizio legittimo

Una volta eseguita, l'applicazione malware avvia una routine di deviazione che include diversi messaggi di errore falsi visualizzati all'utente nel tentativo di nascondere la sua attività minacciosa. I messaggi indicano erroneamente che l'applicazione non è supportata e che verrà disinstallata. Per fingere che l'applicazione non sia più installata, la sua icona verrà rimossa dall'interfaccia utente. Tuttavia, esaminando le impostazioni del dispositivo verrà mostrato che l'applicazione è ancora presente sul dispositivo e funziona in background.

La funzionalità principale del Trojan Firestarter consiste nello stabilire una connessione con i server C2 e nel fornire e distribuire il payload del malware. Nella sua comunicazione in uscita, il caricatore invia un token FCM di Google che contiene varie informazioni di sistema, tra cui indirizzo IP, geolocalizzazione, IMEI e indirizzo email. Queste informazioni iniziali aiutano gli hacker a determinare se l'obiettivo è degno di essere infettato dalla principale minaccia malware. Se decidono di procedere, i criminali informatici restituiscono un messaggio FCM al caricatore contenente il collegamento da cui deve recuperare il payload.

Il fatto che il traffico Trojan Firestarter sfrutti un servizio legittimo lo aiuta a fondersi meglio con il resto della comunicazione generata dal sistema operativo Android utilizzando l'infrastruttura di Google. Un'altra misura contro il facile rilevamento è il download post-compromissione del carico utile minaccioso, che riduce al minimo l'impronta iniziale della minaccia malware che deve infiltrarsi nel dispositivo mirato.