Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

GnatSpy: scoperta nuova famiglia di trojan per dispositivi mobili

dispositivi mobili  GnatSpy  trojan   martedì, 19 dicembre 2017

Trojan per AndroidI ricercatori di Trend Micro hanno di recente scoperto una nuova famiglia di trojan per il furto di informazioni, battezzata GnatSpy, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Stando a quanto riportato da Trend Micro, GnatSpy è una variante della minaccia FrozenCell, a sua volta derivata dal malware VAMP, attribuito al gruppo di cybercriminali noto come APT-C-23 o Two-tailed Scorpion, ritenuto responsabile di attacchi mirati condotti all’inizio del 2017 contro obiettivi specifici nell’area del Medio Oriente.

Gli esperti non hanno individuato un vettore di attacco specifico. È possibile che il malware venga inviato direttamente agli utenti sotto forma di app malevole da scaricare ed installare direttamente sui loro dispositivi. Per trarre in inganno le potenziali vittime, queste app hanno nomi del tipo “Android Setting” o “Facebook Update” che potrebbero apparire legittimi. Al momento non sono stati individuati molti esemplari di app infette da GnatSpy in-the-wild, segno che queste vengono probabilmente utilizzate in attacchi mirati ad un numero limitato di singoli individui o gruppi.

Le funzionalità malevole di GnatSpy sono molto simili a quelle delle versioni iniziali di VAMP. Il malware è in grado di sottrarre informazioni dai dispositivi infetti che comprendono immagini, messaggi di testo, contatti, cronologia delle chiamate, oltre a dati riguardanti la batteria, lo stato della SIM, la memoria e l’archiviazione. A differenza del suo predecessore, GnatSpy non cattura informazioni sulla posizione dell’utente mediante il database OpenCellID.

Quanto alla compatibilità con i dispositivi Android, GnatSpy è in grado di richiedere autorizzazioni specifiche sui telefoni a marchio Huawei e Xiaomi, e implementa funzioni ottimizzate per versioni più recenti del sistema operativo (Marshmallow e Nougat).

Le innovazioni maggiori rispetto alla versione precedente della minaccia riguardano la struttura dell’applicazione, che appare più complessa e modulare, le tecniche di evasione, che hanno subito un deciso incremento, e le comunicazioni con i server C&C, i cui indirizzi sono ora offuscati all’interno del codice del malware. In realtà, gli indirizzi codificati nel malware non sono quelli reali dei server C&C, ma corrispondono ad URL che vengono contattati allo scopo di ottenere gli indirizzi dei veri server.

Per i server C&C sono stati registrati nomi di domini apparentemente corrispondenti a nomi e cognomi di persone reali (o almeno plausibili), anche se alcuni appaiono tratti direttamente da quelli di personaggi di spettacoli televisivi. In almeno due casi, nello specifico cecilia-gilbert[.]com e lagertha-lothbrok[.]info, i domini corrispondono a quelli già associati a FrozenCell e VAMP, circostanza che rafforza l’attribuzione alla stessa APT.

Il post originale di Trend Micro contiene un’analisi più dettagliata di GnatSpy, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Scoperti numerosi giochi su Google Play infetti da un trojan

25 gennaio 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto su Google Play numerosi giochi per Android contenenti il trojan Android.RemoteCode.127.origin.Leggi tutto

Variante di Dridex distribuita mediante siti FTP compromessi

19 gennaio 2018

Gli esperti di Forcepoint hanno osservato una nuova campagna di distribuzione di del noto trojan bancario Dridex che sfrutta server FTP compromessi.Leggi tutto

Vulnerabilità di Microsoft Office sfruttate per diffondere il malware Zyklon HTTP

18 gennaio 2018

I ricercatori di FireEye hanno osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email con allegati Microsoft Office malevoli.Leggi tutto