I ricercatori di sicurezza di Bitdefender hanno identificato un nuovo spyware Android, soprannominato Triout, sembra funzionare come un framework per la creazione di estese funzionalità di sorveglianza in applicazioni apparentemente innocue. E’ utilizzato dai criminali informatici per trasformare le app legittime in spyware con vaste capacità di sorveglianza, come parte di quella che sembra essere una mirata campagna di spionaggio.
Le legittime applicazioni Android integrate con il framework malware, soprannominato Triout, acquisiscono funzionalità per spiare i dispositivi infetti registrando le chiamate telefoniche, monitorando i messaggi di testo, rubando segretamente foto e video e raccogliendo dati sulla posizione, il tutto senza la consapevolezza degli utenti.
Le applicazioni spyware basate su Triout sono state individuate per la prima volta dai ricercatori di sicurezza di Bitdefender il 15 maggio 2018, quando un campione del malware è stato caricato su VirusTotal da qualcuno in Russia, ma la maggior parte delle scansioni proveniva da Israele.
Cristofor Ochinca ricercatore di Bitdefender in un documento pubblicato lo scorso lunedì, ha detto che il campione di malware da loro analizzato era contenuto in una versione maligna di un’applicazione Android che era disponibile su Google Play nel 2016, poi rimossa.
Il malware è molto mimetizzato, la versione “riconfezionata” dell’applicazione Android ha mantenuto l’aspetto e la funzionalità dell’applicazione originale. Il ricercatore in questo caso, ha analizzato un’applicazione per adulti chiamata ‘Sex Game’ utilizzata per ingannare le vittime.
L’applicazione in realtà contiene dannosi malware Triout dotati di potenti funzionalità di sorveglianza, rubano i dati agli utenti e li rimanda a un server di controllo (C & C) gestito da un aggressore. Triout dopo aver compromesso un sistema può eseguire molte operazioni di spionaggio, tra cui:
– registrare ogni telefonata, salvarla sotto forma di file multimediale e quindi inviarla insieme all’ID chiamante a un server C & C remoto;
– registrazione di tutti i messaggi SMS in arrivo sul server C & C remoto;
– invio al server C & C di tutti i registri delle chiamate (con nome, numero, data, tipo e durata);
– invio di ogni immagine e video agli attaccanti ogni volta che l’utente scatta una foto o registra video;
– capacità di nascondersi sul dispositivo infetto.
I ricercatori nonostante le potenti capacità del malware, hanno scoperto che non utilizza l’offuscamento, il che li ha aiutati ad avere pieno accesso al codice sorgente semplicemente decomprimendo il file APK, suggerendo che il malware è in “work in progress”, con gli sviluppatori impegnati a testare le funzionalità e la compatibilità con i dispositivi.
Il server C&C (comando e controllo) cui l’applicazione sembra inviare i dati raccolti, al momento della presente scrittura, risulta essere operativo e funzionante dal maggio 2018.
I ricercatori sebbene non siano stati in grado di scoprire come la versione riconfigurata della legittima applicazione fosse stata distribuita e quante volte fosse stata installata con successo, ritengono che l’applicazione dannosa sia stata distribuita alle vittime da app store di terze parti o da altri domini controllati dagli aggressori.
Il campione di Triout analizzato era ancora firmato con un autentico Certificato di Debug di Google; al momento nessuna analisi indica chi sono gli aggressori, ciò che è chiaro è che sono molto qualificati e pieni di risorse per sviluppare una raffinata forma di un sistema di spyware Triout.
Il modo migliore per proteggersi dal cadere vittime di tali applicazioni dannose è quello di scaricarle sempre da fonti di fiducia, come Google Play Store, e limitarsi solo agli sviluppatori verificati.
Inoltre, cosa più importante, riflettere due volte prima di concedere qualsiasi permesso alle app di leggere i nostri messaggi, accedere ai registri delle chiamate, alle coordinate GPS e a qualsiasi altro dato ottenuto tramite i sensori Android».
