Bitdefender ha annunciato di aver rilevato il framework del malware Android Triout, integrato in una app legittima rimossa dal marketplace Google Play.
il framework di questo spyware poteva nascondere la sua stessa esistenza al dispositivo, registrando le chiamate e i messaggi di testo, salvando i video, facendo foto e arrivando addirittura ad ottenere le coordinate GPS del device. Le informazioni fraudolentemente raccolte venivano inviate ai server Command and Control degli autori del malware, lasciando gli utenti del tutto ignari dell’accaduto.
La versione precedente del framework dello spyware era nascosta all’interno di una app che consentiva di visualizzare contenuti per adulti, ma i ricercatori Bitdefender hanno trovato una nuova app contaminata che diffonde il malware. Il nome del pacchetto “com.psiphon3” è un’applicazione piuttosto popolare nello store Android ufficiale di Google che promette di bypassare siti web bloccati o censurati sfruttando una serie di proxy.
L’applicazione ha già ottenuto più di 50 milioni di installazioni e oltre 1 milione di recensioni (soprattutto positive), indicando che la sua popolarità potrebbe essere stata sfruttata dagli autori della minaccia per riconfezionarla con il framework dello spyware.
Ironicamente, mentre l’applicazione legittima originale viene promossa come un ottimo strumento per tutelare la propria privacy accedendo liberamente a Internet, se abbinata al framework dello spyware Triout ottiene risultati diametralmente opposti.
Anche se non è stata distribuita sullo store ufficiale di Google Play, ma tramite alcuni store di terze parti, l’applicazione modificata ha lo stesso codice dannoso della versione analizzata in precedenza. È anche fornita di tre componenti adware, Google Ads, Inmobi Ads, Mopub Ads, per generare alcuni ricavi per gli aggressori.
L’app modificata è stata rilevata per la prima volta l’11 ottobre 2018, ma pare sia stata attiva fin dal 2 maggio 2018, e a tutto il 7 dicembre 2018. In questo periodo, l’applicazione dannosa è stata apparentemente rilevata da 7 diversi dispositivi, incluso 5 della Repubblica della Corea e 2 dalla Germania. Anche se il numero di vittime di cui si è a conoscenza in base ai dati è relativamente basso, è difficile stimare esattamente quante ce ne siano davvero a livello globale.
Ciò che è davvero interessante sul nuovo campione di Triout è che il server di C&C (Comando e Controllo) che gli autori della minaccia usano per sottrarre dati e controllare i dispositivi infetti ora è diverso. Il nuovo indirizzo IP del server C&C (“188.165.49.205”) è tuttora operativo al momento in cui scriviamo e sembra puntare a un sito web francese (“magicdeal.fr”) che include offerte e sconti su vari prodotti.
Tuttora non si sa se il sito web sia solo un’esca o un sito web legittimo che gli autori della minaccia hanno compromesso per usare come server C&C.
Sia la app legittima che la versione modificata sembrano e agiscono allo stesso modo in termini di interfaccia utente e funzionalità, indicando che gli aggressori si sono concentrati unicamente nell’aggiungere il componente spyware di Triout senza suscitare sospetti da parte delle vittime.
Tuttavia, la versione modificata sembra aver usato la versione v91 dell’applicazione originale per distribuire lo spyware Triout. Infatti, la versione attuale della app legittima, al momento in cui scriviamo, è la v241.
La proliferazione dei dispositivi Android ha rinnovato l’interesse da parte degli autori di minacce nello sviluppo di framework di malware e spyware. L’ubiquità di questi dispositivi nelle nostre vite quotidiane, il livello di informazioni a cui possono accedere e la quantità di sensori di cui sono equipaggiati (ad esempio, videocamera, microfono, GPS, ecc.) li trasformano in perfette spie, se sfruttate dai malware.
Mentre il framework dello spyware Android Triout non sembra aver subito modifiche in termini di codice o capacità, il fatto che nuovi campioni stiano emergendo e che gli autori delle minacce utilizzino app estremamente popolari per integrare il proprio malware, potrebbe preannunciare altri incidenti analoghi in un prossimo futuro.
Vale anche la pena considerare che il basso numero di vittime e di dispositivi infetti, oltre alle potenti funzionalità di spyware incluse, potrebbero indicare che Trout è stato utilizzato principalmente in campagne di spionaggio altamente mirate e rivolte a poche persone.
Per evitare queste minacce, è meglio installare solo app prevenienti dai marketplace originali, utilizzare sempre una soluzione di sicurezza mobile in grado di individuare i malware Android e tenere costantemente aggiornato il sistema operativo Android con tutti gli ultimi aggiornamenti di sicurezza.
Si ringrazia Cristofor Ochinca, Ricercatore di sicurezza di Bitdefender, per l’accurata analisi.