TianySpy Malware
Il malware TianaSpy è un inforstealer mobile che prende di mira gli utenti Android e iPhone giapponesi. La minaccia è stata diffusa tramite messaggi smishing, che è un evento comune per le campagne minacciose rivolte ai dispositivi Android, ma è estremamente raro vederne uno per iPhone. In effetti, secondo il rapporto sulla minaccia rilasciato da TrendMicro, questa è la prima volta che vedono un attacco smishing per diffondere minacce iPhone.
La catena di infezione inizia con un SMS di richiamo progettato per apparire una società di telecomunicazioni. Il messaggio contiene un collegamento a un sito Web compromesso. Una volta lì, agli utenti vengono presentate le istruzioni per scaricare un presunto prodotto software di sicurezza ma, in realtà, stavano ricevendo la minaccia malware.
Messaggi di esca alternativi
Sono state osservate due diverse versioni del messaggio esca. Il primo viene consegnato tramite un servizio di consegna SMS compromesso e può essere tradotto in: 'Rilevato accesso non autorizzato al tuo account. Si prega di confermare.' (Il messaggio originale è -【●●●】お客様がご利用の●アカウントが不正利用の可能性があります。ご確認が必要です). Sia gli utenti Android che iPhone che hanno effettuato l'accesso al collegamento in questo messaggio sono stati infettati da TianaSpy.
L'esca alternativa SMS afferma che "non è stato possibile confermare il pagamento. Si prega di confermare. '"(Il messaggio originale è - ●●● お 客 様 セ セ タ タ です お ご 利用 セ 料金 の お 支払い 確認 が 取れ 料金 の お 支払い 確認 が 取れ て の お 支払い 確認 が 取れ て の ませ ん.) I ricercatori ritengono che questi messaggi provengano da dispositivi infetti da Android minaccia malware "AndroidOS_KeepSpy.GCL." Questa seconda versione dell'attacco ha anche lasciato cadere TianaSpy sui dispositivi iPhone, ma gli utenti Android sono stati invece infettati da KeepSpy.
Funzioni minacciose
TianaSpy potrebbe essere stato creato per raccogliere le credenziali dell'account della vittima associate ai siti Web di appartenenza di importanti società di telecomunicazioni giapponesinello specifico. Più specificamente, la minaccia malware è in grado di ottenere le impostazioni Wi-Fi del dispositivo infetto, eseguire un JavaScript danneggiato per raccogliere dati aggiuntivi, aprire siti non sicuri o falsi ed esfiltrare le informazioni raccolte tramite e-mail. Inoltre, TianaSpy può abusare di WebView sui dispositivi Android per falsificare i dati visualizzati sul sito ufficiale di una società di telecomunicazioni legittima, in particolare la dichiarazione di utilizzo del sito.
