Non sembra esaurirsi il filone dei malware che hanno come bersaglio Android.
Recentemente un gruppo di esperti di cybersecurity ha portato alla luce un’altra di queste criticità.
L’autore di quest’ultimo software dannoso è stato ricondotto a un contractor del ministero della difesa russo, già a suo tempo, nel 2016, accusato di aver interferito con le elezioni presidenziali americane.
Soprannominato Monokle, il trojan per l’accesso da remoto ha cominciato attivamente a prendere di mira i telefoni che utilizzano Android almeno dal marzo 2016. Il suo utilizzo? Si tratta di un tool specializzato usato principalmente in attacchi altamente mirati contro un numero limitato di persone di alto valore potenziale.
Secondo gli esperti di sicurezza che per primi lo hanno individuato, Monokle possiede un’ampia gamma di funzionalità atte allo spionaggio e utilizza tecniche avanzate di filtraggio dei dati, anche senza richiedere l’accesso root a un dispositivo mirato.
Quanto può essere dannoso Monokle
Il potenziale distruttivo di Monokle è altissimo.
In particolare il malware abusa dei servizi di accesso Android per sottrarre grandi quantità di dati da applicazioni popolari come Google Docs, Facebook messenger, Whatsapp, WeChat e Snapchat. Per farlo Monokle legge i testi che appaiono sul display in ogni momento.
Non solo, il malware è anche in grado di analizzare il vocabolario predittivo (l’auto-complete) scelto dall’utente per apprendere e farsi un’idea degli interessi della vittima. Ma non finisce qui, Monokle si spinge fino al punto di registrare lo schermo al fine di compromettere il Pin, le password e il pattern del telefono.
Oltre a tutte queste criticità, se i permessi root sono disponibili, lo spyware installa certificati CA root specificati dall’aggressore nell’elenco dei certificati di fiducia del dispositivo compromesso, consentendo, potenzialmente, di intercettare facilmente il traffico di rete criptato e protetto da Ssl attraverso attacchi Man-in-the-Middle (MitM).
Altre funzionalità di Monokle sono:
- Rintracciare la posizione del dispositivo;
- Registrare l’audio e le chiamate;
- Effettuare registrazioni dello schermo;
- Keylogger e impronte digitali dei dispositivi;
- Recuperare la navigazione e la cronologia delle chiamate;
- Scattare foto, video e screenshot;
- Recupero di e-mail, Sms e messaggi;
- Sottrarre contatti e informazioni sul calendario;
- Effettuare chiamate e inviare Sms a nome delle vittime;
- Eseguire comandi arbitrari come root.
In tutto, Monokle contiene 78 diversi comandi predefiniti, che gli aggressori possono inviare tramite Sms, telefonate, scambio di messaggi di posta elettronica tramite Pop3 e Smtp, e connessioni Tcp in entrata/uscita, istruendo il malware al fine di estrarre i dati richiesti e inviarli ai server di comando e controllo a distanza degli aggressori.
Uno spyware in grado di mimetizzarsi
Sempre secondo gli esperti, i criminal hacker stanno distribuendo Monokle attraverso cloni di app più note come Google Play, Evernote, Signal, Skype e persino Pornhub.
L’utente che sciaguratamente scarica questi cloni spesso e volentieri non si accorge dell’inganno. Il clone infatti mantiene tutte le funzionalità dell’originale, di fatto lasciando ignara la vittima.
E come se non bastasse, le ultime versioni di Monokle arrivano già impacchettate con dei moduli Xposed che permettono al malware di customizzare alcune funzionalità di sistema, migliorando di fatto l’abilità dell’infezione di nascondersi all’interno del bersaglio.
Il pacchetto malware utilizza un file Dex nella sua cartella degli asset che include tutte le funzioni crittografiche implementate nella libreria open source Spongycastle, vari protocolli di posta elettronica, estrazione ed esfiltrazione di tutti i dati, serializzazione e deserializzazione dei dati utilizzando il protocollo Thrift, e funzionalità di rooting e hooking.
Quest’ultima minaccia diretta ad Android per le sue capacità ricorda molto Pegasus (che aveva messo in crisi Whatsapp), sviluppato dal gruppo israeliano Nso Group sia per iOS Apple sia per i dispositivi Android di Google.
Tuttavia, a differenza dello spyware russo Monokle, Pegasus è dotato di potenti exploit zero-day che installano lo spyware su un dispositivo mirato con poca o nessuna interazione utente (quindi non richiede download di faux-apps per fare breccia).
Pegasus, oltre all’ormai noto caso di WhatsApp, è stato usato in per colpire attivisti dei diritti umani e giornalisti, dal Messico agli Emirati Arabi Uniti e l’anno scorso contro lo staff di Amnesty International in Arabia Saudita.
La pista che porta direttamente a Mosca
Sull’origine del malware – come accennato in apertura – ci sono pochi dubbi: Monokle è stato sviluppato da una società con sede in Russia, chiamata Special Technology Centre (Centro Tecnologico Speciale), specializzata in Uav e RF radio per l’esercito.
Secondo i ricercatori, sia la suite di sicurezza Android di Monokle si quella Stc (chiamata Defender) hanno la stessa firma digitale con gli stessi certificati crittografici e condivide anche la stessa infrastruttura di comando e controllo.
Ulteriori sovrapposizioni sono state osservate dai ricercatori tra Monokle e il software di sicurezza difensiva prodotto da Stc nelle scelte di sviluppo e nelle implementazioni fatte degli autori.
In arrivo anche su iOS
Oltre ad Android, i ricercatori si sono imbattuti anche in alcuni campioni di malware Monokle, l’analisi dei quali ha rivelato l’esistenza di versioni iOS di Monokle che prendono di mira i dispositivi Apple, anche se i ricercatori non hanno trovato alcuna prova di alcuna infezione iOS attiva al momento.
Alcuni comandi nei campioni di malware sembrano non servire a nessuno scopo come parte del client Android e probabilmente sono stati aggiunti involontariamente, il che suggerisce che le versioni iOS di Monokle potrebbero essere in fase di sviluppo.
Questi comandi includono funzioni iOS per il portachiavi, connessioni iCloud, dati dell’accelerometro Apple iWatch, permessi iOS e altre caratteristiche o servizi iOS.
Secondo i ricercatori, Monokle è utilizzato in attacchi altamente mirati contro un numero limitato di persone nelle regioni caucasiche dell’Europa dell’Est, così come individui interessati all’Islam e al gruppo militante Ahrar al-Sham in Siria e individui della nazione dell’Asia centrale e dell’Uzbekistan.
Monokle è sicuramente una minaccia emergente, quindi non esiste una vera e propria guida step by step per eradicarla.
Quello che si può fare è seguire le regole base della cyberigene per mobile. Quindi, per difendersi dai più moderni malware Android, non solo gli utenti devono utilizzare applicazioni antivirus pubblicate da rinomati fornitori di sicurezza, ma devono obbligatoriamente scaricare applicazioni solo da app store ufficiali, mantenere sempre disattivate le sorgenti sconosciute sui loro telefoni, evitare applicazioni che richiedono permessi inutili e invasivi e mantenere aggiornati i loro dispositivi e applicazioni con le ultime patch di sicurezza.
© RIPRODUZIONE RISERVATA
