Si chiama ViceLeaker il nuovo malware che si rivolge specificamente agli utenti Android e in grado di eliminare i file dalla memoria interna, registrare le chiamate, i messaggi di testo e i dati di localizzazione, tutto ovviamente a insaputa degli utenti.
Oltre a questo, ViceLeaker è dotato di sofisticate funzionalità di backdoor che gli consentono di dirottare la fotocamera dei dispositivi mobile, registrare l’audio circostante ed effettuare chiamate o inviare messaggi a numeri specifici, oltre che effettuare l’upload e il download di file.
ViceLeaker, a quanto dicono i ricercatori di sicurezza dei Kaspersky Labs, si nasconde dentro una versione modificata del client di messaggistica istantanea open source Jabber/XMPP Conversations, distribuito legittimamente su Google Play e utilizzato soprattutto in Israele e in altri paesi mediorientali.
Indice degli argomenti
ViceLeaker: un framework per il cyber spionaggio
Più che di un semplice malware per dispositivi Android, quindi, nel caso di ViceLeaker sarebbe più corretto parlare di un framework di codice malevolo che i criminal hacker stanno utilizzando per trasformare le app legittime in veri e propri spyware iniettando un payload malevolo all’interno del loro codice.
Da un rapporto tecnico pubblicato dai ricercatori di sicurezza dei Kaspersky Lab si evince che gli aggressori utilizzano attivamente il tool di sviluppo Baksmali per smontare e poi rimontare il codice di un’applicazione legittima dopo avervi iniettato il loro codice dannoso: una tecnica comunemente nota come Smali injection.
Più precisamente, i criminal hacker avrebbero importato il codice sorgente originale dell’app Conversations in un IDE Android (molto probabilmente Android Studio) ricompilandolo dopo aver aggiunto il loro codice malevolo.
Nel dettaglio, i campioni modificati dell’app Conversations differiscono da quello originale nel metodo getKnownHosts che è stato modificato per sostituire l’host XMPP predefinito con l’indirizzo del server C2 di controllo e comando gestito dai criminal hacker, con il quale ViceLeaker comunica utilizzando il protocollo HTTP.
Per meglio camuffare l’app malevola, inoltre, i criminal hacker hanno utilizzato l’icona e il nome del file APK che imitano molto quelli dell’app Telegram.
È curioso, inoltre, notare come il principale vettore di infezione del malware ViceLeaker sia la diffusione diretta di applicazioni compromesse inviate direttamente alle vittime designate tramite messaggi Telegram o WhatsApp.
Tutte azioni malevoli che non lasciano dubbi sulle finalità di cyber spionaggio industriale mirato che i criminal hacker provano a perseguire sfruttando il malware ViceLeaker.
Come difendersi dal malware
I ricercatori di sicurezza hanno inoltre scoperto che non tutte le versioni modificate dell’app Conversations identificate finora contengono codice malevolo. Il sospetto è che siano state utilizzate per comunicazioni riservate tra i criminal hacker o per compiere azioni malevoli ancora non identificate.
Sta di fatto che la campagna di attacco di ViceLeaker è ancora in corso e cyber criminali potrebbero potenzialmente distribuire versioni malevole riconfezionate di applicazioni legittime attraverso app store di terze parti, messaggi diretti inviati mediante client famosi e diffusi come Telegram e WhatsApp o pagine Web controllate dagli stessi criminali.
Poiché tali applicazioni si mascherano come applicazioni legittime o popolari, la raccomandazione è quella di scaricare applicazioni esclusivamente da fonti attendibili, come Google Play, per evitare di diventare una vittima di questo attacco.
In realtà, non ci si dovrebbe fidare nemmeno troppo di tutte le app disponibili su Google Play. Sarebbe il caso, quindi, di rivolgersi sempre e solo a sviluppatori verificati per evitare di installare applicazioni dannose.
Infine, soprattutto in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
