Si chiama Monokle il nuovo trojan mobile ad accesso remoto (RAT, Remote Access Trojan) per Android sviluppato in Russia e utilizzato già dal 2016 principalmente in attacchi altamente mirati contro un numero finora limitato di persone.
Secondo gli analisti di sicurezza di Lookout che hanno isolato alcuni campioni del malware, Monokle possiede un’ampia gamma di funzionalità di cyber spionaggio e utilizza tecniche avanzate per il furto dei dati che non richiedono l’accesso con privilegi di root al dispositivo target.
Gli aggressori stanno distribuendo Monokle attraverso versioni contraffatte di famose applicazioni tra cui Evernote, Google Play, Skype e altre molto popolari tra gli utenti Android. I criminal hacker utilizzano anche lo stratagemma di lasciare alcune funzionalità legittime sulle app malevoli per impedire che le vittime mirate dell’attacco possano sospettare la presenza di una possibile minaccia.
Una volta installato sullo smartphone target, Monokle consente ai suoi ideatori di:
- effettuare un pedinamento della vittima sfruttando il modulo GPS;
- intercettare l’audio ambientale;
- registrare le sue telefonate;
- effettuare chiamate e inviare SMS a nome delle vittime;
- scattare foto, video e screenshot;
- analizzare il traffico web;
- recuperare la navigazione e la cronologia delle chiamate;
- leggere i messaggi di chat e delle app di messaggistica;
- rubare contatti e informazioni sul calendario.
Inoltre, qualora il dispositivo Android fosse già rootato, Monokle è in grado anche di eseguire comandi avanzati per consentire ai criminal hacker il pieno controllo del dispositivo compromesso.
Indice degli argomenti
Come funziona lo spyware Monokle
In particolare, Monokle riesce ad abusare dei servizi di accessibilità di Android per estrarre i dati da un gran numero di applicazioni di terze parti, tra cui Google Docs, Facebook Messenger, WhatsApp, WeChat e Snapchat, semplicemente leggendo il testo visualizzato sullo schermo del dispositivo.
I criminal hacker hanno inoltre dotato Monokle di una particolare funzionalità che consente allo spyware di estrarre dizionari di testo con i termini più utilizzati dall’utente in modo da individuare quelli che sono i suoi argomenti di interesse.
Durante il suo funzionamento, Monokle effettua anche alcuni tentativi di registrazione della schermata del telefono durante un evento di sblocco dello schermo per compromettere il PIN o la password di accesso al dispositivo.
Come se tutto questo non bastasse, nel caso in cui l’accesso come root fosse già attivo sul dispositivo, lo spyware è in grado anche di installare certificati digitali CA che consentono agli attaccanti di intercettare facilmente il traffico di rete crittografato e protetto con protocollo SSL attraverso attacchi di tipo man-in-the-middle (MiTM).
In totale, Monokle è in grado di eseguire ben 78 diversi comandi predefiniti, che gli aggressori possono inviare al malware tramite SMS, telefonate, scambio di messaggi di posta elettronica su protocollo POP3 ed SMTP o mediante connessioni TCP in entrata e in uscita per istruirlo all’estrazione di dati e informazioni riservate dallo smartphone compromesso che poi invia al server di comando e controllo (C&C) gestito dagli stessi criminal hacker.
Gli analisti di sicurezza di Lookout hanno inoltre scoperto che alcuni campioni di Monokle sono in grado di sfruttare il modulo Xposed di Android per nascondere la presenza dello spyware nell’elenco dei processi.
Infine, l’analisi dei campioni malevoli dello spyware ha rivelato che Monokle viene distribuito mediante un file DEX contenente le funzioni crittografiche implementate nella libreria open source spongycastle, le istruzioni per l’utilizzo dei principali protocolli di posta elettronica e gli strumenti utili all’estrazione ed esfiltrazione di tutti i dati dal dispositivo della vittima.
I consigli per difendersi dallo spyware
Le caratteristiche tecniche di Monokle e le sue capacità malevoli analizzate finora ricordano molto il potente malware di sorveglianza Pegasus, sviluppato dal gruppo israeliano NSO Group sia per iOS Apple che per i dispositivi Android di Google.
L’unica differenza tra le due app di sorveglianza da remoto è la presenza a bordo di Pegasus di potenti exploit zero-day che consentono di installare lo spyware su un dispositivo mirato senza alcuna interazione da parte dell’utente.
Ciononostante, anche nel caso di Monokle siamo in presenza di un malware particolarmente evoluto e molto pericoloso. I sospetti sono che a produrlo siano stati i russi di Special Technology Centre Ltd che in passato avevano già fatto parlare di sé a causa di alcune loro azioni malevoli e mirate durante le ultime presidenziali USA.
Monokle non è dunque l’ennesimo virus mobile, ma una vera e propria arma di cyber spionaggio e cyber sabotaggio internazionale.
Come sempre in questi casi, è importante scaricare esclusivamente applicazioni certificate dagli store ufficiali e solo se rilasciate dagli sviluppatori ufficiali: abbiamo visto, come nel caso di Monokle, che negli ultimi tempi i criminal hacker hanno iniziato ad usare lo stratagemma di nascondere i loro malware dentro versioni contraffatte di applicazioni legittime. Stiamo alla larga da versioni “potenziate” delle nostre app preferite distribuite mediante messaggi di posta elettronica sospetti oppure scaricabili da siti dalla dubbia autenticità.
In ambito aziendale, inoltre, è sempre buona regola installare una valida soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Infine, è molto importante investire sulla security awareness dei dipendenti con una formazione costante che possa sensibilizzarli sulle più recenti minacce e metterli in condizione di saper riconoscere una potenziale minaccia ed eventualmente contrastarla.
