Il malware Android Triout, dotato di notevoli capacità di spionaggio, è stato scoperto nell’agosto del 2018, integrato in un’applicazione legittima rimossa dal marketplace ufficiale di Google Play. Il framework dello spyware poteva nascondere la sua stessa esistenza al dispositivo, registrare le chiamate e i messaggi di testo, salvare i video, scattare immagini e persino ottenere coordinate GPS. Tutte queste informazioni venivano poi inviate al server di Comando e Controllo dagli autori della minaccia, senza far scattare alcun allarme fra le proprie vittime.
La versione precedente del framework dello spyware era inclusa in un’applicazione che consentiva di visualizzare contenuti per adulti, ma i ricercatori Bitdefender hanno trovato una nuova app contaminata che diffonde il malware.
Utilizzare la privacy come esca
Il pacchetto com.psiphon3 è un’applicazione piuttosto popolare nello store Android ufficiale di Google, e promette di bypassare siti web bloccati o censurati sfruttando una serie di proxy. L’applicazione ha già ottenuto più di 50 milioni di installazioni e oltre 1 milione di recensioni (soprattutto positive), indicando che la sua popolarità potrebbe essere stata sfruttata dagli autori della minaccia per riconfezionarla con il framework dello spyware.
Ironicamente, mentre l’applicazione legittima originale viene promossa come un ottimo strumento per tutelare la propria privacy accedendo liberamente a Internet, se abbinata al framework dello spyware Triout ha esattamente lo scopo opposto.
Anche se non è stata distribuita sullo store ufficiale di Google Play, ma tramite alcuni store di terze parti, l’applicazione modificata ha lo stesso codice dannoso della versione analizzata in precedenza. È anche fornita di tre componenti adware, Google Ads, Inmobi Ads, Mopub Ads, per generare alcuni ricavi per gli aggressori.
Le indagini
L’applicazione modificata è stata individuata per la prima l’11 ottobre 2018, mentre sembra che sia stata attiva dal 2 maggio 2018 fino al 7 dicembre 2018. Durante questo periodo, l’applicazione dannosa è stata apparentemente rilevata da 7 diversi dispositivi, incluso 5 della Repubblica della Corea e 2 dalla Germania. Anche se il numero di vittime di cui siamo a conoscenza è relativamente basso, è difficile stimare esattamente quante ce ne siano davvero a livello globale.
Analizzando il campione, è stato trovato lo stesso codice dannoso presente nella versione precedente. Infatti, il nuovo pacchetto infetto vanta le stesse funzionalità di tale versione, ma un nome diverso, “psp.jsp.datamd”.
Ciò che è davvero interessante sul nuovo campione di Triout è che il server di C&C (Comando e Controllo) che gli autori della minaccia usano per sottrarre dati e controllare i dispositivi infetti ora è diverso. Il nuovo indirizzo IP del server C&C (“188.165.49.205”) è tuttora operativo al momento in cui scriviamo e sembra puntare a un sito web francese (“magicdeal.fr”) che include offerte e sconti su vari prodotti.
Tuttora non si sa se il sito web sia solo un’esca o un sito web legittimo che gli autori della minaccia hanno compromesso per usare come server C&C.
Sia la app legittima che la versione modificata sembrano e agiscono allo stesso modo in termini di interfaccia utente e funzionalità, indicando che gli aggressori si sono concentrati unicamente nell’aggiungere il componente spyware di Triout senza suscitare sospetti da parte delle vittime.
Tuttavia, la versione modificata sembra aver usato la versione v91 dell’applicazione originale per distribuire lo spyware Triout. Infatti, la versione attuale della app legittima, al momento della stesura del seguente articolo, è la v241.
Conclusioni
La proliferazione dei dispositivi Android ha rinnovato l’interesse da parte degli autori di minacce nello sviluppo di framework di malware e spyware. L’ubiquità di questi dispositivi nelle nostre vite quotidiane, il livello di informazioni a cui possono accedere e la quantità di sensori di cui sono equipaggiati (ad esempio, videocamera, microfono, GPS, ecc.) li trasformano in perfette spie, se sfruttate dai malware.
Mentre il framework dello spyware Android Triout non sembra aver subito modifiche in termini di codice o capacità, il fatto che nuovi campioni stiano emergendo e che gli autori delle minacce utilizzino app estremamente popolari per integrare il proprio malware, potrebbe preannunciare altri incidenti analoghi in un prossimo futuro.
Vale anche la pena considerare che il basso numero di vittime e di dispositivi infetti, oltre alle potenti funzionalità di spyware incluse, potrebbero indicare che Trout è stato utilizzato principalmente in campagne di spionaggio altamente mirate e rivolte a poche persone.
Per evitare queste minacce, è meglio installare solo app prevenienti dai marketplace originali, utilizzare sempre una soluzione di sicurezza mobile in grado di individuare i malware Android e tenere costantemente aggiornato il sistema operativo Android con tutti gli ultimi aggiornamenti di sicurezza.
Nota: questo articolo si basa su informazioni tecniche fornite gentilmente da Cristofor Ochinca, Ricercatore di sicurezza di Bitdefender.
