Facebook trova nuovo malware Android utilizzato dagli hacker APT

Vai ai contenuti

Facebook trova nuovo malware Android utilizzato dagli hacker APT

3D.A. CLOUD Internet Provider FIBRA FTTH VDSL VoIP Kaspersky Antivirus WatchGuard Antivirus SPID PEC Firma_Digitale Certificati SSL Brescia Concesio
Facebook trova nuovo malware Android utilizzato dagli hacker APT
Qualcuno che spia con gli occhi di Facebook

Meta (Facebook) ha pubblicato il suo rapporto sulle minacce contraddittorio del secondo trimestre 2022 e tra i punti salienti c'è la scoperta di due cluster di spionaggio informatico collegati a gruppi di hacker noti come "Bitter APT" e APT36 (aka "Transparent Tribe") che utilizzano il nuovo malware Android.

Questi agenti di spionaggio informatico utilizzano piattaforme di social media come Facebook per raccogliere informazioni (OSINT) o per fare amicizia con le vittime utilizzando personaggi falsi e quindi trascinarle su piattaforme esterne per scaricare malware.

Sia APT36 che Bitter APT sono stati osservati mentre organizzavano campagne di cyber-spionaggio all'inizio di quest'anno, quindi il rapporto di Facebook dà una nuova dimensione alle loro recenti attività.

L'attore sponsorizzato dallo stato allineato al Pakistan APT36 è stato recentemente smascherato in una campagna contro il governo indiano utilizzando strumenti per aggirare l'AMF.

Nel maggio 2022 è stato osservato anche il Bitter APT, che ha preso di mira il governo del Bangladesh con un nuovo malware dotato di funzionalità di esecuzione di file in remoto.

Il rapporto di Meta spiega che Bitter APT si è impegnato nell'ingegneria sociale contro obiettivi in ​​Nuova Zelanda, India, Pakistan e Regno Unito, utilizzando lunghe interazioni e investendo tempo e sforzi significativi.

L'obiettivo del gruppo era infettare i suoi obiettivi con malware e, a tale scopo, ha utilizzato una combinazione di servizi di accorciamento degli URL, siti compromessi e provider di file hosting di terze parti.

"Questo gruppo ha risposto in modo aggressivo al nostro rilevamento e blocco della sua attività e dell'infrastruttura del dominio", commenta Meta nel rapporto.

"Ad esempio, Bitter tenterebbe di pubblicare collegamenti interrotti o immagini di collegamenti dannosi in modo che le persone debbano digitarli nel proprio browser anziché fare clic su di essi, il tutto nel tentativo di eludere l'applicazione senza successo".

I recenti attacchi di Bitter hanno anche rivelato aggiunte nell'arsenale dell'attore delle minacce sotto forma di due app mobili, rivolte rispettivamente agli utenti iOS e Android.

La versione iOS era un'app di chat fornita tramite il servizio Testflight di Apple, uno spazio di test per gli sviluppatori di app. In genere, gli attori delle minacce convincono le vittime a scaricare queste app di chat presentandole come "più sicure" o "più sicure".

L'app Android scoperta da Facebook è un nuovo malware che Meta ha chiamato "Dracarys", che abusa dei servizi di accessibilità per concedersi maggiori autorizzazioni senza il consenso dell'utente.

Da lì, si inietterebbe in varie app Android per fungere da spyware, rubare messaggi di testo, installare app e registrare audio.

"Bitter ha iniettato Dracarys in versioni trojanizzate (non ufficiali) di YouTube, Signal, Telegram, WhatsApp e applicazioni di chat personalizzate in grado di accedere a registri delle chiamate, contatti, file, messaggi di testo, geolocalizzazione, informazioni sul dispositivo, scattare foto, abilitare il microfono e installazione di app", ha spiegato il rapporto di Meta.

Meta sottolinea che Dracarys passa inosservato su tutti i motori antivirus esistenti, evidenziando le capacità di Bitter di creare malware personalizzato furtivo.

APT36 è un attore di minacce molto meno sofisticato, ma comunque una potente minaccia che si basa su intricate tattiche di ingegneria sociale e malware prontamente disponibile.

L'ultima attività scoperta da Meta ha preso di mira persone in Afghanistan, India, Pakistan, Emirati Arabi Uniti e Arabia Saudita, concentrandosi in particolare su funzionari militari e attivisti per i diritti umani.

I membri di APT36 hanno creato account su Facebook fingendosi reclutatori per aziende contraffatte o fittizie e hanno utilizzato il servizio di condivisione file WeTransfer per inviare presunte offerte di lavoro ai loro obiettivi.

I file scaricati contenevano una versione modificata di XploitSPY, che Meta ha chiamato "LazaSpy". Le modifiche apportate dall'attore includono un'implementazione fallita di un meccanismo di targeting georeferenziato.

Oltre a LazaSpy, APT36 ha utilizzato anche Mobzsar, un malware di base che consente agli operatori di accedere a registri delle chiamate, elenchi di contatti, SMS, dati GPS, foto e microfono.




3D.A.
Un Solo Fornitore
3D.A. di Domeneghini Angelo - Via G. Zanardelli, 80/82 - cap. 25062 Concesio (Bs) - Tel +39 030 2008860 -
Fax 030 20 60 925 - P.I: 03307780175
Torna ai contenuti