ESET ha identificato una campagna di spionaggio distribuita dalle applicazioni di messaggistica

Il team di ricerca ESET ha individuato una campagna di spionaggio informatico che, attraverso le app di messaggistica Android, ruba informazioni riservate.

Il team di ricerca ESET, una delle principali società di rilevamento delle minacce, ha analizzato una campagna di spionaggio informatico che distribuiva backdoor (un cavallo di Troia che consente l’accesso al sistema infetto e il controllo remoto) attraverso le app di messaggistica Android che eseguivano i trojan, portando alla fuga di informazioni riservate. Le informazioni sono state individuate durante le indagini.

ESET ha attribuito la campagna attiva a un gruppo noto come Transparent Tribe e si rivolge principalmente agli utenti Android. Le vittime sono state probabilmente prese di mira tramite una truffa romantica, inizialmente contattate su un’altra piattaforma e poi convinte a utilizzare app presumibilmente “più sicure” che hanno finito per installare sui loro dispositivi. La campagna è attiva da luglio 2022 circa, distribuendo codice dannoso identificato da ESET come backdoor CapraRAT utilizzando almeno due siti simili che sono versioni pulite di quelle app di messaggistica sicure.

Oltre alla funzionalità di chat insita nell’applicazione legittima originale, le versioni di Trojan includono una backdoor CapraRAT. Questa backdoor è in grado di acquisire schermate, scattare foto, registrare telefonate e suoni ambientali ed estrarre qualsiasi altra informazione sensibile dal dispositivo. La backdoor può anche ricevere comandi dagli aggressori per eseguire varie azioni sul dispositivo compromesso, come scaricare file, effettuare chiamate e inviare messaggi SMS. La campagna è rigorosamente mirata e non vi è alcuna indicazione che queste app siano mai state disponibili su Google Play.

In base al nome dell’Android Package Kit (APK), la prima app canaglia è marchiata MeetsApp e afferma di fornire connessioni di chat sicure. ESET ha trovato un sito Web in cui è possibile scaricare questo modello (meetapp[.]Cervo.

L’analisi del sito di distribuzione di MeetsApp ha mostrato che alcune delle sue risorse erano ospitate su un altro server con un nome di dominio simile, utilizzando un nome di servizio simile. Questo sito offriva anche un’app di messaggistica Android, MeetUp, da scaricare con lo stesso nome di pacchetto di MeetsApp e con lo stesso logo del sito web.

Prima di utilizzare l’app, le vittime devono creare account collegati ai loro numeri di telefono e richiedere la verifica tramite SMS. Una volta creato questo account, l’app richiede autorizzazioni aggiuntive che consentono di implementare la piena funzionalità della backdoor, come l’accesso a contatti, registri delle chiamate, messaggi SMS, archiviazione esterna e registrazione audio.

Secondo la ricerca di ESET, le potenziali vittime sono state indotte con l’inganno a installare l’app attraverso una truffa romantica, dove probabilmente sono state prima contattate su una piattaforma diversa e poi persuase a utilizzare l’app “più sicura”. MeetsApp o MeetUp.

I punti principali della ricerca ESET sono:

• Ha distribuito la backdoor Android “CapraRAT” tramite app di messaggistica e chiamate sicure trojanizzate con i nomi MeetsApp e MeetUp. Le backdoor possono rubare qualsiasi informazione riservata dai dispositivi delle loro vittime.
• Queste applicazioni Trojan erano disponibili per il download da siti Web che erano centri di distribuzione ufficiali. ESET ritiene che sia stato utilizzato un trucco romantico per attirare gli obiettivi su questi siti.
• La scarsa sicurezza operativa attorno a queste app ha esposto informazioni di identificazione personale dell’utente, consentendo la geolocalizzazione di 150 vittime.
• La backdoor CapraRAT è ospitata su un dominio che si risolve in un indirizzo IP precedentemente utilizzato da Transparent Tribe.

È ancora attiva la campagna di mobile targeting del gruppo Transparent Tribe che utilizza due app di messaggistica nei trojan come copertura per distribuire la sua backdoor Android CapraRAT, entrambe distribuite tramite due siti web simili che, secondo le loro descrizioni, forniscono messaggistica sicura e servizi di chiamata. Gli operatori di queste app avevano una sicurezza operativa debole, il che ha portato alla divulgazione di informazioni di identificazione personale della vittima ai nostri investigatori tramite Internet. Grazie a ciò, è stato possibile ottenere alcune informazioni sulle vittime “, afferma Camilo Gutierrez Amaya, capo del laboratorio di ricerca ESET per l’America Latina.

Fontana. ESET