PhoneSpy Malware
Gli esperti di sicurezza hanno identificato una campagna di spionaggio attiva rivolta agli utenti sudcoreani. Secondo le loro scoperte, gli aggressori mirano a compromettere i dispositivi Android degli utenti infettandoli con la minaccia malware PhoneSpy, un RAT avanzato (Remote Access Trojan) in grado di eseguire numerose azioni intrusive sui dispositivi violati. Sembra che l'obiettivo principale degli hacker sia quello di raccogliere enormi quantità di dati personali o aziendali sensibili dalle loro vittime.
Finora, gli esperti di sicurezza informatica hanno scoperto 23 diverse applicazioni armate che trasportano la minaccia. Va notato che nessuna di queste applicazioni è riuscita a violare il Google Play Store ufficiale e, come tale, viene diffusa principalmente tramite piattaforme di app di terze parti. Si ritiene che il vettore iniziale di compromissione siano i collegamenti di phishing distribuiti tra gli utenti target. Le applicazioni scelte fingono di essere strumenti utili che offrono messaggistica, gestione delle foto, istruzioni di yoga, streaming di contenuti e altro ancora.
Funzioni minacciose
PhoneSpy potrebbe non essere tra i RAT più sofisticati in circolazione, ma le sue capacità non dovrebbero essere sottovalutate. Una volta che gli utenti hanno scaricato ed eseguito il file APK di una delle applicazioni false, verrà attivata la distribuzione di PhoneSpy sui propri dispositivi. La prima azione intrapresa dalla minaccia è visualizzare una pagina di phishing progettata per apparire come se provenisse da un servizio legittimo, come l'app di messaggistica Kakao Talklicazione La pagina falsa cercherà di convincere l'utente a concederle numerose autorizzazioni per il dispositivo.
PhoneSpy stabilirà quindi le sue routine di sorveglianza e inizierà a raccogliere informazioni private dal dispositivo. Il RAT può tracciare la posizione dell'utente tramite il GPS del dispositivo, scattare immagini, registrare audio o video dirottando il microfono e la fotocamera del dispositivo, intercettare i messaggi SMS in arrivo, stabilire l'inoltro delle chiamate, raccogliere i registri delle chiamate e gli elenchi dei contatti e persino inviare messaggi arbitrari da il dispositivo utilizzando l'account e le credenziali della vittima. La grande quantità di dati raccolti verrà trasmessa ai server Command-and-Control (C2, C&C) degli aggressori.
Per rimanere nascosto sul dispositivo, PhoneSpy utilizza tecniche di offuscamento per il suo codice. Rimuoverà anche l'icona dell'app falsalicazione dallo schermo del telefono, un'azione di occultamento comune osservata in queste minacce RAT. PhoneSpy potrebbe anche provare a sbarazzarsi delle soluzioni di sicurezza mobile presenti sul dispositivo tentando di disinstallarle.
