Exodus – Privacy e insicurezza dei cellulari
Exodus – Privacy e insicurezza dei cellulari

Exodus – Privacy e insicurezza dei cellulari

Un interessante articolo apparso su  “Security without border” spiega che è stato identificato uno spyware per cellulari Android, creato da sviluppatori Italiani e presente sul Play store da circa 2 anni.

Malware

Il malware (Android) è stato caricato sullo store più volte nell’arco di questi due anni, camuffandolo come semplici app che, a prima vista, offrono funzionalità utili per verificare il buon funzionamento del cellulare o app di servizio di generici operatori telefonici Italiani.

Sono state caricate sullo store circa 25 varianti dello spyware e il target, probabilmente, sono utenti Italiani.

Non si ha un numero preciso di installazioni avvenute con successo ma ipotizzano che qualche centinaio di utenti abbia installato una delle fake app in oggetto.

Funzionamento

Installando una delle fake app dal Play Store si installa in realtà il dropper del  malware.

Nella prima fase vengono raccolte informazioni di base del cellulare target (p.es. Imei e numero di telefono) e inviate al  C&C di riferimento.

Nella seconda fase viene scaricato il vero malware che contiene i binari delle tre piattaforme: i686, arm, arm64.

Tra i binari presenti all’interno del malware i più interessanti sono quelli relativi all’escalation dei privilegi e all’acquisizione dati (compreso la versione modificata di DirtyCow (terza fase)), e al terminale locale e remoto.

Acquisizione delle informazioni

Il malware in oggetto può:

  • Recuperare una lista di applicazioni installate.
  • Registrare l’audio dell’ambiente circostante in formato 3gp utilizzando il microfono incorporato.
  • Recuperare la cronologia di navigazione e i segnalibri da Chrome e SBrowser.
  • Estrarre gli eventi dall’app Calendario.
  • Estrarre il registro delle chiamate.
  • Registrare le chiamate telefoniche audio in formato 3gp.
  • Scattare foto con la fotocamera incorporata.
  • Raccogliere informazioni sulle celle telefoniche circostanti (BTS).
  • Estrarre la rubrica.
  • Estrarre l’elenco dei contatti dall’applicazione Facebook.
  • Estrarre i log dalle conversazioni di Facebook Messenger.
  • Prendere uno screenshot di qualsiasi applicazione in primo piano.
  • Estrarre informazioni sulle immagini dalla Galleria.
  • Estrarre informazioni dall’applicazione GMail.
  • Scaricare i dati dall’app Messenger dell’IMO.
  • Estrarre registri di chiamate, i contatti e messaggi dall’app Skype.
  • Recuperare tutti i messaggi SMS.
  • Estrarre i messaggi e la chiave di crittografia dall’app Telegram.
  • Scaricare i dati dall’app Viber Messenger.
  • Estrarre i log da WhatsApp.
  • Recuperare i file multimediali scambiati tramite WhatsApp.
  • Estrarre la password della rete Wi-Fi.
  • Estrarre i dati dall’applicazione WeChat.
  • Estrarre le coordinate GPS correnti del telefono.

Esfiltrazione 

Una volta acquisiti i dati, quest’ultimi vengono offuscati con XOR e memorizzati in una cartella denominata .lost+found sulla scheda SD. Vengono infine esfiltrati su una connessione TLS al server di Command & Control attraverso una coda di caricamento.

IOS

La variante IOS non è sofisticata come quella di Android e conteneva un sottoinsieme delle funzionalità offerte dalle versioni Android.

Anche se con funzionalità limitate, il malware per ios è stato in grado di estrarre i seguenti tipi di dati utilizzando API documentate:

  • Contatti.
  • Registrazioni audio.
  • Fotografie.
  • Video.
  • Posizione GPS.
  • Informazioni sul dispositivo.

Inoltre, il malware per ios offriva  una funzione per eseguire la registrazione audio remota.

Conclusioni

Diversi dettagli tecnici hanno indicato che il software era probabilmente il prodotto di uno sforzo di sviluppo ben finanziato e mirato al mercato delle intercettazioni legali.

Da notare che i telefoni infetti, utilizzati per l’analisi del malware, non sono stati disinfettati in remoto dagli sviluppatori del malware.

L’articolo completo di Security without border è consultabile attraverso questo indirizzo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.