Malware Android "Aggiornamento di sistema"

Gli utenti Android sono minacciati da un nuovo sofisticato malware Android che si pone come un'applicazione di "aggiornamento del sistema". La minaccia è stata scoperta di recente dai ricercatori di infosec. Secondo i loro risultati, il malware "System Update" mostra una vasta gamma di funzionalità minacciose con alcune funzionalità raramente viste, un'infrastruttura di comando e controllo (C2, C&C) consolidata con diversi server per le comunicazioni in entrata e in uscita, nonché tecniche di prevenzione del rilevamento.

Se è in grado di infiltrarsi nel dispositivo dell'utente, il malware "System Update" agisce come un RAT (Remote Access Trojan) in grado di raccogliere ed estrarre dati, eseguire comandi in entrata e assumere il controllo di alcune funzioni del dispositivo infetto. Va notato che la minaccia non è stata in grado di violare il negozio ufficiale di Google Play e si è invece diffusa attraverso piattaforme applicative di terze parti.

Una vasta gamma di funzioni sofisticate

Il malware "System Update" mostra una moltitudine di capacità minacciose che consentono agli aggressori di condurre varie azioni nefaste sul dispositivo Android compromesso. Una volta stabilita, la minaccia avvia la comunicazione con un server Firebase C&C. Durante lo scambio iniziale, vengono inviati vari dati sul dispositivo infetto tra cui: se WhatsApp è presente sul sistema, carica della batteria, statistiche di archiviazione e tipo di connessione Internet. Le informazioni insieme a un token ricevuto dal servizio di messaggistica Firebase vengono utilizzate per registrare il dispositivo con C&C. La minaccia malware utilizza Firebase C&C solo per ricevere i comandi in arrivo mentre tutti i dati esfiltrati vengono consegnati a un diverso server C&C tramite richieste POST.

I comandi specifici ricevuti dalla minaccia attivano diverse funzionalità. Il malware "System Update" può accedere al microfono e iniziare a registrare audio o registrare conversazioni di telefonate. I dati raccolti verranno salvati come file di archivio ZIP prima di essere caricati sul server C&C. La minaccia assilla l'utente con richieste di abilitare i servizi di accessibilità ripetutamente e, in caso di successo, proverebbe a raschiare i dettagli della conversazione e dei messaggi dallo schermo di WhatsApp.

Lo spyware stabilisce numerosi ascoltatori, osserva e trasmette intenti che attivano azioni minacciose specifiche come la raccolta di dati negli appunti, lo spionaggio di SMS, contatti, registri delle chiamate, notifiche, posizione GPS, ecc. I file archiviati sul dispositivo compromesso verranno scansionati e qualsiasi che è di dimensioni inferiori a 30 MB e considerato prezioso, ad esempio le estensioni .pdf, .docx, .doc, .xlsx, .xls, .pptx e .ppt verranno copiate e quindi esfiltrate sul server C&C. Ulteriori dati degli utenti privati come i segnalibri e la cronologia delle ricerche verranno anche eliminati dai browser Web più diffusi come il browser Internet Samsung, Google Chrome e Mozilla Firefox.

Lo spyware è estremamente consapevole che i dati che raccoglie sono il più aggiornati possibile. Scatta i dati sulla posizione dal GPS o dalla rete e li aggiorna ogni 5 minuti. La stessa tecnica viene utilizzata anche per tutte le foto scattate con la fotocamera del dispositivo, con solo l'intervallo aumentato a 40 minuti.

Molteplici tecniche nascondono le attività anormali

Oltre alle sue ampie capacità RAT e spyware, il malware "System Update" è stato anche dotato di numerose tecniche progettate per tenerlo nascosto da occhi indiscreti. Quelli più basilari includono il blocco dell'icona dell'applicazione minacciosa dalla visualizzazione corretta nella scheda del cassetto o nel menu del dispositivo infetto. Tutti i file contenenti le informazioni raccolte vengono eliminati immediatamente dopo aver ricevuto una risposta positiva dal server remoto in cui i dati vengono esfiltrati. Quando si raccolgono file archiviati su archivi esterni che includono numerose immagini di video, lo spyware si concentra invece sulla raccolta delle miniature appropriate. Questo metodo consente all'attività minacciosa di rimanere relativamente inosservata rispetto all'alternativa di creare una massiccia scia di larghezza di banda anormale, in particolare.

Se il malware "System Update" riceve un comando dal server Firebase C&C mentre lo schermo del dispositivo compromesso è spento, genera una falsa notifica per fuorviare l'utente. La notifica finge di essere stata generata dal sistema operativo del dispositivo visualizzando un falso messaggio "Ricerca aggiornamento in corso ...".