SmsSpy Malware

La campagna di smishing condotta dal gruppo di hacker Roaming Mantis è ancora in evoluzione. Gli obiettivi primari dell'operazione erano gli utenti dei paesi asiatici, ma ora gli hacker hanno implementato un nuovo malware chiamato SmsSpy progettato per infettare in modo specifico gli utenti giapponesi. L'obiettivo principale del ceppo malware è raccogliere numeri di telefono e messaggi SMS dai dispositivi Android compromessi. La minaccia è in grado di distribuire due versioni diverse, a seconda della versione del sistema operativo Android dell'utente che porta a un aumento sostanziale delle potenziali vittime.

Vettore di compromesso iniziale

L'attacco inizia con messaggi SMS di phishing che portano gli utenti a una pagina Web danneggiata. Il testo esatto del messaggio falso può variare in quanto i criminali informatici potrebbero fingere di essere una società di logistica che necessita di conferma per alcuni servizi da parte dell'utente. In un altro scenario, gli utenti vengono presumibilmente avvisati dei problemi con il loro account bitcoin e vengono istruiti a seguire il collegamento fornito per verificare le loro informazioni di accesso.

La pagina di phishing verificherà quindi la versione Android del dispositivo dell'utente per determinare i seguenti passaggi dell'attacco. Sui dispositivi che eseguono Android OS 10 o versioni successive, la minaccia malware verrà distribuita come una falsa applicazione Google Play. Per i dispositivi che utilizzano Android 9 o versioni precedenti, verrà invece scaricata un'applicazione Chrome falsa.

La funzionalità minacciosa di SmsSpy

Una volta installata, l'applicazione dannosa richiederà di essere impostata come applicazione di messaggistica predefinita affinché il dispositivo possa accedere ai contatti e ai messaggi SMS della vittima. La schermata di notifica visualizzata all'utente corrisponde alla versione dell'applicazione che è stata scaricata. La variante di Google Play si pone come un servizio di sicurezza che presumibilmente fornirà protezione contro virus, spyware, anti-phishing e spam. Per quanto riguarda la falsa applicazione Chrome, avverte gli utenti che non accettare le sue richieste di autorizzazione potrebbe portare l'applicazione a non essere in grado di avviare o limitare le sue funzioni.

Successivamente, SmsSpy nasconderà la sua icona e tenterà di stabilire una comunicazione con il suo server Command-and-Control tramite una comunicazione WebSocket. L'indirizzo predefinito è incorporato nel codice del malware, ma contiene anche informazioni sui collegamenti che si attivano ogni volta che è necessario aggiornare la posizione del server C2. I server C2 sono solitamente nascosti nella pagina del profilo utente di un servizio di blog, ma è stato anche osservato che alcuni esempi utilizzano un servizio di documenti online cinese per lo stesso scopo.

Durante l'handshake iniziale, il malware SmsSpy invia i dettagli di sistema sul dispositivo infetto, inclusa la versione del sistema operativo Android, il numero di telefono, il modello del dispositivo, un ID dispositivo univoco e il tipo di connessione Internet. La minaccia entrerà quindi in una modalità di ascolto, dove rimarrà inattiva mentre attende i comandi in arrivo. Gli aggressori possono esfiltrare l'intera rubrica e i messaggi SMS, inviare ed eliminare messaggi SMS e altro ancora.