Si chiamano Camero, FileCrypt e callCam le tre applicazioni Android regolarmente distribuite su Google Play e utilizzate per azioni di cyber spionaggio ai danni di ignare vittime, con lo scopo di comprometterne i dispositivi e rubare informazioni riservate.
Secondo i ricercatori di sicurezza di Trend Micro che le hanno scoperte, le tre applicazioni stavano sfruttando una vulnerabilità già nota nel sistema operativo Android identificata come CVE-2019-2215 e patchata da Google in occasione dell’Android Security Bulletin di novembre.
Lo stesso exploit, inoltre, sarebbe stato già attivamente utilizzato dalla NSO Group, la compagnia israeliana famosa per aver venduto in passato altri exploit a diversi enti governativi per scopi di cyber spionaggio e cyber sabotaggio.
Le tre app risultano attive almeno dallo scorso mese di marzo 2019 e adesso sono state rimosse dallo store di Google, ma non è escluso che i criminal hacker ne utilizzino di nuove per continuare a sfruttare l’exploit.
Secondo gli analisti le tre app farebbero parte dell’arsenale malevolo del gruppo APT SideWinder attivo dal 2012 e noto per aver azioni di cyber sabotaggio su macchine Windows utilizzate in ambito militare.
Indice degli argomenti
App Android usate per azioni di cyber spionaggio: i dettagli
In particolare, l’app Camero è quella capace di sfruttare la vulnerabilità CVE-2019-2215 presente nel driver Binder di Android, il principale sistema di comunicazione tra processi del sistema operativo mobile di Google.
Si tratta del primo attacco attivo conosciuto in natura che sfrutta questa particolare vulnerabilità di tipo “use-after-free”, cioè capace di sfruttare un difetto di progettazione che consente a un’applicazione di indicizzare un’area di memoria RAM precedentemente indicata dal sistema operativo come “libera”.
Le app Camero e FileCrypt, inoltre, fungono da dropper con funzionalità di trojan e servono per scaricare da un server di comando e controllo (C&C) gestito dai criminal hacker un file in formato DEX che a sua volta avvia il download dell’app callCam contenente il payload del malware vero e proprio utilizzato per rubare informazioni grazie alle sue funzionalità di spyware.
Tutto questo avviene senza che l’utente si accorga di nulla e dunque senza richiedere il suo intervento o una sua qualche interazione su Google Play. Per eludere il rilevamento del payload malevolo, i criminal hacker utilizzare alcune sofisticate tecniche di offuscamento e la crittografia dei dati.
Dalle analisi effettuate dai ricercatori di Trend Micro sembrerebbe inoltre che, prima di scaricare il payload malevolo, le due app Camero e FileCrypt che fungono da dropper cercano di effettuare il rooting del telefono per ottenere privilegi elevati per l’accesso al dispositivo della vittima.
Ciò consente al payload malevolo di essere eseguito in background sul dispositivo infetto per nascondere le sue attività e iniziare a raccogliere informazioni riservate ed eseguire alcune operazioni tra cui:
- ubicazione del dispositivo e, di conseguenza, della vittima;
- dettagli sui file archiviati nella memoria del dispositivo;
- lista delle applicazioni installate;
- dettagli tecnici sul dispositivo;
- dettagli tecnici sui sensori attivi, compresi quelli per il riconoscimento biometrico;
- dettagli tecnici sulle telecamere;
- screenshot del display;
- dettagli sull’account utente;
- informazioni sulla connessione Wi-Fi;
- dati di WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail e Chrome;
- indicazioni sullo stato della batteria.
I consigli per mettere in sicurezza il proprio dispositivo
Da quanto visto finora è evidente che per contrastare eventuali azioni di cyber spionaggio è fondamentale aggiornare innanzitutto il proprio dispositivo Android con gli aggiornamenti rilasciati periodicamente da Google.
È importante anche aggiornare regolarmente le applicazioni installate ed evitare di scaricarne di nuove dal fonti non ufficiali. Bisogna inoltre fare attenzione alle autorizzazioni richieste dalle app stesse.
Infine, è sempre utile effettuare un backup dei propri dati principali da utilizzare qualora si dovesse procedere al ripristino del dispositivo infetto.
