Malware veicolato tramite falso sito di IT-Alert

Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di un malware Android attraverso il servizio di allarme pubblico IT-Alert.

IT-alert è un nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.

Il threat actor ha realizzato un dominio Ad Hoc con un template grafico molto accattivante in cui afferma: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.” e invita esclusivamente gli utenti Android a scaricare una Applicazione malevola. Qualora il sito web venga visitato da un dispositivo desktop o iOS l’utente viene rimandato al sito ufficiale di IT Alert.

Malware Android (SpyNote)

L’utente una volta cliccato sul pulsante Scaricamento esegue il download del file IT-Alert.apk che installa sullo smartphone un malware della famiglia SpyNote.

SpyNote è uno spyware con funzionalità RAT che prende di mira gli istituti finanziari. Noto dal 2022, si è fortemente evoluto raggiungendo la terza versione (SpyNote.C) e venduto usualmente attraverso Telegram dal suo creatore CypherRat.

Una volta avviata, come visibile nello screenshot precedente, l’applicazione richiede all’utente di eseguire l’applicazione in backgroud e di garantire al threat actor il pieno controllo dello smartphone attraverso i servizi di accessibilità. Garantendo pertanto al malware di monitorare, gestire e modificare le risorse e le funzionalità del dispositivo insieme alle funzionalità di accesso remoto.

SpyNote utilizza i servizi di accessibilità per rendere difficile agli utenti di disinstallare l’applicazione, aggiornare le applicazioni già installate o installarne di nuove. Senza alcuna interazione da parte dell’utente dell’utente, SpyNote può cliccare sui pulsanti delle applicazioni (es. login, recupera password, ecc) grazie ai servizi di accessibilità; ma è anche in grado di accedere alla fotocamera del dispositivo e di inviare video o foto direttamente al server Command-and-Control (C&C), così da poter estrarre le informazioni personali dal dispositivo infetto; in questo modo l’aggressore ha il controllo completo del dispositivo e può spiare l’utente.

Ovviamente SpyNote è anche in grado di rubare le credenziali dell’utente, di applicazioni bancarie ma anche dei social. Questo avviene ingannando gli utenti e inducendoli a inserire le loro credenziali durante il legittimo processo di login, lanciando una pagina web con un layout personalizzato che assomiglia molto al servizio legittimo impersonato, proprio come un tradizionale attacco di overlay viene utilizzato per mostrare alle vittime una pagina di accesso falsa per la loro applicazione.

SpyNote sfrutta inoltre la funzione di Accessibilità per ottenere codici di autenticazione a due fattori (2FA).

Invitiamo come di consueto gli utenti a prestare attenzione e a non installare nuove applicazioni che non provengono dagli store ufficiali.

IoC

IT-Alert.apk
- MD5: a589a0ac38ebd008520b6353b3af32ba
- SHA1: 7cc67298e3d8e3a3bf3ba8b19adea6382f2e8928
- SHA256: 004c574b2c5a0ca63a2d1b8e50245245c33e914424bf8cd8830a3d648a4644bf
C2: 81[.]161[.]229[.]3:7771