venerdì 31 agosto 2018

Spyware per Android: nasce una nuova famiglia, BusyGasper


E' stata individuata una nuova famiglia di spyware per Android, arrivata all'attenzione dei ricercatori perchè foriera di nuove funzioni e originali implementazioni. BusyGasper si distingue per la capacità di monitorare vari sensori presenti sul telefono sotto attacco. Ad esempio, sulla base dei registri di rilevamento del movimento (ogni volta che si apre una app o si digita qualcosa) individua il momento migliore per eseguire o, al contrario, arrestare la propria attività.

Analizzando le sue funzioni, i ricercatori hanno individuato anche una funzione in grado di calcolare persino la velocità del dispositivo. Questo spyware usa tali informazioni per capire quando il dispositivo non è in uso alla vittima e fa in maniera tale che sembri in modalità standby anche se, in realtà, si trova in stato attivo. Usa una serie di comandi per silenziare il dispositivo, disabilitare il blocco tastiera, ridurre la luminosità dello schermo, utilizzare il blocco della sveglia e "scrutare" i sensori del dispositivo stesso. Tra questi, riesce anche ad ottenere l'accesso anche ai sensori per la temperatura dell'aria e della pressione, utili a fornire indicazioni sulle condizioni climatiche nei dintorni della vittima.

BusyGasper esegue immediatamente un comando che disabilita le sue operazioni di backdoor quando la vittima afferra il telefono e simula la pressione del pulsante home per ridurre al minimo le attività correnti.



Un attaccante poco esperto?
Nonostante tutte queste funzioni indubbiamente originali, si pensa che lo sviluppatore di questo spyware in realtà non sia un utente esperto. Anzi. BusyGasper "ufficialmente" è attivo dal 2016, ma non è affatto diffuso e sembra il lavoro di un singolo operatore poco esperto di organizzazione di campagne di malware.  Ad esempio si è notato che l'attaccante non ha implementato alcun componente di criptografia per difendere il codice del malware e ridurre l'individuazione da parte degli antivirus, così come utilizza un server FTP pubblico e gratuito per le funzioni di Command & Control. Il server è così vulnerabile che alcuni ricercatori sono riusciti ad avervi accesso e pubblicare la lista dei file contenuti (vedi foto sotto)


I file nel server C&C
Il server di comando e controllo contiene file di testo con comandi e identificatori delle vittime. Da quel che si può riscontrare le vittime di questo spyware appaiono essere soltanto sette, di cui tre son dispositivi test.

La lista delle vittime
Il malware ha accesso anche ad una casella di posta elettronica appartenente all'autore, nel quale l'autore stesso può cercare nuovi comandi e payload utili contenuti in una cartella specifica. Usa inoltre l'indirizzo email per estrarre i dati dai dispositivi compromessi. Nell'account di posta sono state rinvenute moltissime informazioni sensibili delle varie vittime.


La componente keylogger
La funzione di keylogging è stata implementata invece in una maniera del tutto originale e diversa, dall'autore. Per prima cosa, registra ogni pressione sullo schermo e ne raccoglie le coordinate. Quindi determina i caratteri facendo corrispondere la loro posizione a un insieme di valori codificati. Dopo l'installazione crea un componente TextView in una nuova finestra, dove mostrare appunto il testo. Setta quindi specifici parametri per rendere l'elemeno invisdibile all'utente: nella foto sotto i parametri di layout di TextView. 



Per assicurare che tutti i dettagli siano corretti, il keylogger fa anche screenshoot delle aree premute dalla vittima. Come detto, la diffusione è veramente minima: qualora però BusyGasper cominciasse la diffusione con campagne serie e diffuse di spam, il problema potrebbe non essere secondario.

Nessun commento:

Posta un commento