Alcuni ricercatori hanno scoperto un nuovo ceppo di malware per Android progettato per rubare dati dai client di messaggistica istantanea mobile. Questo nuovo trojan è abbastanza semplice nella sua progettazione, dichiarano i ricercatori della società di sicurezza informatica Trustlook in un rapporto pubblicato lunedì scorso, infatti il trojan in primo luogo tende ad ottenere la persistenza all’avvio modificando il file “/system/etc/install-recovery.sh”. In secondo luogo, il malware può estrarre i dati dai seguenti client IM Android, dati che caricherà successivamente su un server remoto. Il malware recupera l’IP di questo server da un file di configurazione locale.
Facebook Messenger
Skype
Telegram
Twitter
wechat
Weibo
Viber
ed altri
I ricercatori hanno individuato il malware all’interno di un’app cinese denominata Cloud Module (in cinese), con il nome del pacchetto com.android.boxa.
Caratteristiche semplici, ma tecniche di evasione avanzate
I ricercatori di Trustlook affermano che, nonostante l’attenzione è sul furto dei dati IM, il malware utilizza alcune tecniche avanzate di evasione. Ad esempio, il malware utilizza tecniche di rilevamento anti-emulatore e debugger per eludere l’analisi dinamica e nasconde anche le stringhe all’interno del suo codice sorgente per contrastare i tentativi di code reversing .
Comunque è molto strano che il malware Android abbia solo una singola funzionalità, quella di estrarre e esfiltrare i dati IM. Una teoria per questa scelta progettuale sarebbe che gli aggressori stiano raccogliendo conversazioni private, immagini e video, nel tentativo di identificare i dati sensibili che potrebbero successivamente sfruttare nei tentativi di estorsione, specialmente contro vittime di alto profilo.
I ricercatori non hanno condiviso alcuna informazione sui metodi di distribuzione del malware, ma tenendo conto del fatto che il malware ha un nome cinese e che non esiste Play Store in Cina, gli autori del malware potrebbero distribuire l’app dannosa tramite negozi e link di terze parti su Android e forum di app
