Malware veicolato tramite falso sito di IT-Alert
Il Threat Intelligence Team di D3Lab nelle quotidiane attività di analisi e contrasto alle frodi online ha rilevato la diffusione di un malware Android attraverso il servizio di allarme pubblico IT-Alert.
IT-alert è un nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.
Il threat actor ha realizzato un dominio Ad Hoc con un template grafico molto accattivante in cui afferma: “A causa della possibile eruzione di un vulcano potrebbe verificarsi un terremoto nazionale. Scarica l’app per tenere d’occhio se la regione potrebbe essere colpita.” e invita esclusivamente gli utenti Android a scaricare una Applicazione malevola. Qualora il sito web venga visitato da un dispositivo desktop o iOS l’utente viene rimandato al sito ufficiale di IT Alert.
Malware Android (SpyNote)
L’utente una volta cliccato sul pulsante Scaricamento esegue il download del file IT-Alert.apk che installa sullo smartphone un malware della famiglia SpyNote.
SpyNote è uno spyware con funzionalità RAT che prende di mira gli istituti finanziari. Noto dal 2022, si è fortemente evoluto raggiungendo la terza versione (SpyNote.C) e venduto usualmente attraverso Telegram dal suo creatore CypherRat.
Una volta avviata, come visibile nello screenshot precedente, l’applicazione richiede all’utente di eseguire l’applicazione in backgroud e di garantire al threat actor il pieno controllo dello smartphone attraverso i servizi di accessibilità. Garantendo pertanto al malware di monitorare, gestire e modificare le risorse e le funzionalità del dispositivo insieme alle funzionalità di accesso remoto.
SpyNote utilizza i servizi di accessibilità per rendere difficile agli utenti di disinstallare l’applicazione, aggiornare le applicazioni già installate o installarne di nuove. Senza alcuna interazione da parte dell’utente dell’utente, SpyNote può cliccare sui pulsanti delle applicazioni (es. login, recupera password, ecc) grazie ai servizi di accessibilità; ma è anche in grado di accedere alla fotocamera del dispositivo e di inviare video o foto direttamente al server Command-and-Control (C&C), così da poter estrarre le informazioni personali dal dispositivo infetto; in questo modo l’aggressore ha il controllo completo del dispositivo e può spiare l’utente.
Ovviamente SpyNote è anche in grado di rubare le credenziali dell’utente, di applicazioni bancarie ma anche dei social. Questo avviene ingannando gli utenti e inducendoli a inserire le loro credenziali durante il legittimo processo di login, lanciando una pagina web con un layout personalizzato che assomiglia molto al servizio legittimo impersonato, proprio come un tradizionale attacco di overlay viene utilizzato per mostrare alle vittime una pagina di accesso falsa per la loro applicazione.
SpyNote sfrutta inoltre la funzione di Accessibilità per ottenere codici di autenticazione a due fattori (2FA).
Invitiamo come di consueto gli utenti a prestare attenzione e a non installare nuove applicazioni che non provengono dagli store ufficiali.
IoC
- IT-Alert.apk
- MD5: a589a0ac38ebd008520b6353b3af32ba
- SHA1: 7cc67298e3d8e3a3bf3ba8b19adea6382f2e8928
- SHA256: 004c574b2c5a0ca63a2d1b8e50245245c33e914424bf8cd8830a3d648a4644bf
- C2: 81[.]161[.]229[.]3:7771
Trackbacks & Pingbacks
[…] malware attraverso il servizio di allarme pubblico IT-Alert. La minaccia viene rilevata da D3Lab in un articolo apposito e di seguito cercheremo di […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] Il s’agit du fichier d’installation d’une application, qu’on peut utiliser pour éviter de passer par le Play Store, là où les applications sont vérifiées au préalable. De quoi passer entre les mailles du filet de Google pour les pirates. Ce site a été repéré par les experts italiens en cybersécurité du D3Lab. […]
[…] Il s’agit du fichier d’installation d’une application, qu’on peut utiliser pour éviter de passer par le Play Store, là où les applications sont vérifiées au préalable. De quoi passer entre les mailles du filet de Google pour les pirates. Ce site a été repéré par les experts italiens en cybersécurité du D3Lab. […]
[…] Il s’agit du fichier d’installation d’une application, qu’on peut utiliser pour éviter de passer par le Play Store, là où les applications sont vérifiées au préalable. De quoi passer entre les mailles du filet de Google pour les pirates. Ce site a été repéré par les experts italiens en cybersécurité du D3Lab. […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] on people at D3Lab, some unhealthy actors try to get Android customers to put in malware from the SpyNote household […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] göre D3LabBazı kötü aktörler, Android kullanıcılarını sahte bir IT-Alert uygulaması indirmeye […]
[…] to folks at D3Lab, some bad actors are trying to get Android users to install malware from the SpyNote family by […]
[…] keeping with of us at D3Lab, some unhealthy actors try to get Android customers to put in malware from the SpyNote household […]
[…] on people at D3Lab, some dangerous actors try to get Android customers to put in malware from the SpyNote household […]
[…] la gente di D3Labalcuni malintenzionati stanno cercando di convincere gli utenti Android a installare malware della […]
[…] researchers at the D3Lab first spotted the fake IT-alert site, which is warning of an elevated possibility of an upcoming […]
[…] malware è stato scoperto dagli italiani del D3D Lab che lo descrivono in una pagina in […]
[…] malware on the gadget and grants the app permission to make use of accessibility companies, D3Lab reports. This successfully permits the app to run within the background with distant entry capabilities. […]
[…] SpyNote malware on the device and grants the app permission to use accessibility services, D3Lab reports. This effectively allows the app to run in the background with remote access capabilities. The […]
[…] SpyNote malware on the device and grants the app permission to use accessibility services, D3Lab reports. This effectively allows the app to run in the background with remote access capabilities. The […]
[…] ricercatori della D3Lab, un’azienda di sicurezza informatica, hanno, infatti, scoperto la diffusione di un malware […]
[…] latest campaign from the SpyNote malware family was discovered by security specialists at D3Lab. SpyNote is known for the fact that the people behind it use a variety of tricks – […]
[…] researchers at the D3Lab first spotted the fake IT-alert site, which is warning of an elevated possibility of an upcoming […]
[…] researchers on the D3Lab first noticed the pretend IT-alert website, which is warning of an elevated risk of an upcoming […]
[…] campagna della famiglia di malware SpyNote è stata scoperta da Specialisti della sicurezza D3Lab. SpyNote è noto per il fatto che le persone dietro di esso utilizzano una serie di trucchi, tra […]
[…] campagna della famiglia di malware SpyNote è stata scoperta da Specialisti della sicurezza D3Lab. SpyNote è noto per il fatto che le persone dietro di esso utilizzano una serie di trucchi, tra […]
[…] researchers at the D3Lab first spotted the fake IT-alert site, which is warning of an elevated possibility of an upcoming […]
[…] researchers at the D3Lab first spotted the fake IT-alert site, which is warning of an elevated possibility of an upcoming […]
I commenti sono chiusi.