Il Threat Intelligence Team di D3Lab ha rilevato la diffusione di un malware Android che si sta diffondendo attraverso un sito web falso associato al servizio di allarme pubblico IT-Alert.
IT-alert è un nuovo sistema di allarme pubblico innovativo per fornire informazioni dirette alla popolazione, diramando messaggi utili via telefoni cellulari presenti in una determinata area geografica in caso di gravi emergenze o catastrofi imminenti o in corso.
Il threat actor ha realizzato un dominio ad hoc con un template grafico molto accattivante nel quale afferma: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.”. Questa richiesta è rivolta esclusivamente agli utenti Android, invitandoli a scaricare un’applicazione malevola. Qualora il sito web venga visitato da un dispositivo desktop o iOS, l’utente viene reindirizzato al sito ufficiale di IT Alert.
L’utente, una volta cliccato sul pulsante “scaricamento”, esegue il download del file IT-Alert.apk che installa sullo smartphone un malware della famiglia SpyNote. SpyNote è uno spyware dotato di funzionalità RAT (Remote Access Trojan) che prende di mira gli istituti finanziari. Questa minaccia, nota dal 2022, si è fortemente evoluta raggiungendo la terza versione (SpyNote.C), venduta abitualmente attraverso Telegram dal suo creatore CypherRat.
Una volta avviata, l’applicazione richiede all’utente di eseguirla in backgroud e concede al threat actor il pieno controllo dello smartphone attraverso i servizi di accessibilità. Ciò permette al malware di monitorare, gestire e modificare le risorse e le funzionalità del dispositivo insieme alle funzionalità di accesso remoto.
SpyNote utilizza i servizi di accessibilità per rendere difficile agli utenti di disinstallare l’applicazione, aggiornare le applicazioni già installate o installarne di nuove. Senza alcuna interazione dell’utente, SpyNote è in grado di cliccare sui pulsanti delle applicazioni (es. login, recupera password, ecc) grazie ai servizi di accessibilità. Inoltre, è anche in grado di accedere alla fotocamera del dispositivo e di inviare video o foto direttamente al server Command-and-Control (C&C), così da poter estrarre le informazioni personali dal dispositivo infetto. In questo modo l’aggressore ha il controllo completo del dispositivo e può spiare l’utente.
Oltre a ciò, SpyNote è anche in grado di rubare le credenziali dell’utente, comprese quelle di applicazioni bancarie e social, inducendo gli utenti a inserire le loro credenziali durante il legittimo processo di login, lanciando una pagina web con un layout personalizzato che assomiglia molto al servizio legittimo impersonato, proprio come un tradizionale attacco di overlay viene utilizzato per mostrare alle vittime una pagina di accesso falsa per la loro applicazione.
Infine, SpyNote sfrutta anche la funzione di Accessibilità per ottenere codici di autenticazione a due fattori (2FA).
Gli esperti di D3Lab invitano gli utenti a prestare attenzione e a non installare nuove applicazioni che non provengono dagli store ufficiali.
https://www.d3lab.net/malware-veicolato-tramite-falso-sito-di-it-alert/
