I ricercatori di Proofpoint hanno osservato una campagna di malware, soprannominata TangleBot, progettata per rubare le informazioni sensibili degli utenti mobili Android utilizzando esche a tema Covid sempre più popolari.
Gli analisti di Proofpoint hanno rilevato per la prima volta TangleBot all’inizio di settembre 2021. Le esche iniziali si presentavano sotto forma di messaggi SMS di Covid-19 mascherati da legittime notifiche mediche contenenti collegamenti a URL relativi a Covid-19 o informazioni sui vaccini.
Inoltre, è stata rilevata una campagna di follow-up utilizzando messaggi relativi a una potenziale interruzione di corrente e indirizzata agli utenti di impianti idroelettrici negli Stati Uniti e in Canada.
Una volta che gli utenti cliccano sul collegamento contenuto nel messaggio di testo, gli autori delle minacce utilizzano il metodo collaudato per avvisare gli utenti che Adobe Flash Player necessita di un aggiornamento per visualizzare il contenuto. Quindi, agli utenti ignari vengono presentate una serie di finestre di dialogo che richiedono l’accettazione dei permessi e l’installazione da fonti sconosciute. Gli analisti hanno contato non meno di nove finestre di dialogo su cui gli utenti devono fare clic prima dell’installazione completa del malware.
TangleBot richiede l’accesso a molte autorizzazioni che consentono l’intercettazione e l’esfiltrazione di dati sensibili. Queste autorizzazioni consentono al malware di modificare le impostazioni di configurazione del dispositivo, registrare l’attività dell’utente e la posizione di tracciamento e trasmettere le informazioni rubate ai sistemi controllati dall’autore della minaccia.
Le capacità dell’attore della minaccia dopo l’infezione sono differenti: utilizza la messaggistica dei social media per fornire informazioni segrete sull’infrastruttura C2 ai dispositivi infetti. Le informazioni sono diffuse all’interno di post criptici. Il malware contatta modelli definiti all’interno delle pagine dei social media specificate. Una volta individuato, il malware può ricevere le istruzioni fornite dall’attore della minaccia.
Dopo aver stabilito la connettività con il dispositivo infetto, vengono utilizzate dozzine di istruzioni per interagire ed estrarre dati e altre informazioni sensibili.
Istruzioni specifiche consentono il controllo e il monitoraggio dei dispositivi infetti, la manipolazione dei dati dell’utente e dell’attività del browser e il furto di informazioni riservate. L’elenco di alcuni comandi C2 disponibili include: controllo chiamate e SMS, capacità di keylogging, visualizzazione delle impostazioni di protezione della riproduzione, iniezione HTML, messaggi USSD, impostazione della luminosità dello schermo, App in esecuzione, acquisizione della fotocamera ecc.
Proofpoint ha preso nota di questo malware prima della distribuzione su vasta scala e ha collaborato con i i partner di Google per garantire che Google Play Protect rilevi adeguatamente il software contribuendo a garantire la protezione per la più ampia comunità globale.
https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled
