Attacco di spear phishing con malware Android

I messaggi e gli allegati di posta elettronica sono il mezzo preferito dai cybercriminali per rubare informazioni riservate, come password o dati delle carte di credito. Gli attacchi sono effettuati contro Windows e Mac, usando file ZIP, DOC o PDF infetti. Kaspersky Labs ha scoperto però che l’account di un noto attivista tibetano è stato violato e utilizzato per diffondere un allegato APK contenente un malware per Android. Per la prima volta, quindi, il target è una piattaforma mobile.

La società di sicurezza russa ha pubblicato un dettagliato post per spiegare il funzionamento dell’attacco informatico, denominato spear phishing e basato sull’ingegneria sociale. Dopo aver violato l’account di un attivista tibetano, i cybercriminali hanno inviato una email a tutti i destinatari inseriti nella rubrica. Il messaggio conteneva un riferimento alla recente conferenza per i diritti umani (World Uyghur Congress), alla quale hanno preso parte attivisti provenienti da Tibet, Mongolia, Cina e Turkestan. Il file APK allegato conteneva una presunta lettera scritta dalle organizzazioni interessate. In realtà, di trattava di malware camuffato da applicazione Android.

Mentre l’ignara vittima leggeva il falso messaggio mostrato dopo l’avvio dell’app, il malware effettuava un collegamento ad un server command-and-control e iniziava a rubare le informazioni memorizzate sullo smartphone: contatti, registro chiamate, messaggi SMS, posizione geografica, numero e modello del telefono, e versione del sistema operativo. I dati non venivano inviati automaticamente, ma il trojan aspettava la ricezione di SMS contenenti specifici comandi di attivazione.

Kaspersky Labs ha scoperto che il server si trova a Los Angeles, il sistema operativo utilizzato è Windows Server 2003 in lingua cinese e l’indirizzo IP è stato registrato da una azienda cinese con sede a Pechino. La società di sicurezza sottolinea che la frequenza di questo genere di attacchi verso i dispositivi mobile è destinata ad aumentare nel tempo. Poiché il successo dipende unicamente dall’esecuzione di file infetti, bisogna eliminare qualsiasi allegato APK ricevuto tramite email, anche se proveniente da un mittente conosciuto.