Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

GnatSpy: scoperta nuova famiglia di trojan per dispositivi mobili

dispositivi mobili  GnatSpy  trojan   martedì, 19 dicembre 2017

Trojan per AndroidI ricercatori di Trend Micro hanno di recente scoperto una nuova famiglia di trojan per il furto di informazioni, battezzata GnatSpy, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Stando a quanto riportato da Trend Micro, GnatSpy è una variante della minaccia FrozenCell, a sua volta derivata dal malware VAMP, attribuito al gruppo di cybercriminali noto come APT-C-23 o Two-tailed Scorpion, ritenuto responsabile di attacchi mirati condotti all’inizio del 2017 contro obiettivi specifici nell’area del Medio Oriente.

Gli esperti non hanno individuato un vettore di attacco specifico. È possibile che il malware venga inviato direttamente agli utenti sotto forma di app malevole da scaricare ed installare direttamente sui loro dispositivi. Per trarre in inganno le potenziali vittime, queste app hanno nomi del tipo “Android Setting” o “Facebook Update” che potrebbero apparire legittimi. Al momento non sono stati individuati molti esemplari di app infette da GnatSpy in-the-wild, segno che queste vengono probabilmente utilizzate in attacchi mirati ad un numero limitato di singoli individui o gruppi.

Le funzionalità malevole di GnatSpy sono molto simili a quelle delle versioni iniziali di VAMP. Il malware è in grado di sottrarre informazioni dai dispositivi infetti che comprendono immagini, messaggi di testo, contatti, cronologia delle chiamate, oltre a dati riguardanti la batteria, lo stato della SIM, la memoria e l’archiviazione. A differenza del suo predecessore, GnatSpy non cattura informazioni sulla posizione dell’utente mediante il database OpenCellID.

Quanto alla compatibilità con i dispositivi Android, GnatSpy è in grado di richiedere autorizzazioni specifiche sui telefoni a marchio Huawei e Xiaomi, e implementa funzioni ottimizzate per versioni più recenti del sistema operativo (Marshmallow e Nougat).

Le innovazioni maggiori rispetto alla versione precedente della minaccia riguardano la struttura dell’applicazione, che appare più complessa e modulare, le tecniche di evasione, che hanno subito un deciso incremento, e le comunicazioni con i server C&C, i cui indirizzi sono ora offuscati all’interno del codice del malware. In realtà, gli indirizzi codificati nel malware non sono quelli reali dei server C&C, ma corrispondono ad URL che vengono contattati allo scopo di ottenere gli indirizzi dei veri server.

Per i server C&C sono stati registrati nomi di domini apparentemente corrispondenti a nomi e cognomi di persone reali (o almeno plausibili), anche se alcuni appaiono tratti direttamente da quelli di personaggi di spettacoli televisivi. In almeno due casi, nello specifico cecilia-gilbert[.]com e lagertha-lothbrok[.]info, i domini corrispondono a quelli già associati a FrozenCell e VAMP, circostanza che rafforza l’attribuzione alla stessa APT.

Il post originale di Trend Micro contiene un’analisi più dettagliata di GnatSpy, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.


Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

Il trojan Grobios diffuso tramite exploit kit

16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività dell'exploit kit RIG, utilizzato in-the-wild per diffondere il trojan Grobios.Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

4 aprile 2018

I ricercatori di Cisco Talos hanno scoperto due nuove varianti di KevDroid, un trojan per Android inizialmente distribuito in-the-wild mascherato da falsa applicazione antivirus.Leggi tutto