Un attacco informatico di tipo “watering hole” ha preso di mira i lettori di lingua Urdu di un sito di notizie regionale dedicato alla regione di Gilgit-Baltistan, distribuendo uno spyware Android precedentemente non documentato, soprannominato “Kamran”. La campagna, scoperta da ESET, sfrutta il sito Hunza News (urdu.hunzanews[.]net), che invita i visitatori della versione Urdu a installare la sua app Android direttamente dal sito web.
Tuttavia, l’app incorpora funzionalità di spionaggio dannose e ha compromesso almeno 20 dispositivi mobili fino ad oggi. È stata disponibile sul sito web tra il 7 gennaio e il 21 marzo 2023, periodo in cui si sono tenute proteste massicce nella regione su questioni di diritti fondiari, tassazione e interruzioni prolungate di corrente.
Cosa fa lo spyware Kamran
Una volta installato il pacchetto, lo spyware Kamran richiede permessi invasivi che gli consentono di raccogliere informazioni sensibili dai dispositivi, inclusi contatti, registri delle chiamate, eventi del calendario, informazioni sulla posizione, file, messaggi SMS, foto, elenco delle app installate e metadati del dispositivo. I dati raccolti vengono poi caricati su un server di comando e controllo (C2) ospitato su Firebase.
“Kamran” è privo di capacità di controllo remoto ed è anche semplicistico nella progettazione, eseguendo le sue attività di esfiltrazione solo quando la vittima apre l’app e senza provvedimenti per tenere traccia dei dati già trasmessi. Ciò significa che invia ripetutamente le stesse informazioni, insieme a qualsiasi nuovo dato che soddisfa i suoi criteri di ricerca, al server C2. L’attribuzione di “Kamran” a un attore o gruppo di minacce noto è ancora da definire.
Sicurezza mobile sotto attacco
La sicurezza degli utenti di dispositivi mobili è sempre più minacciata da applicazioni dannose che eludono i controlli degli store ufficiali. Questo caso evidenzia l’importanza di scaricare app solo da fonti affidabili e di essere vigili sulle autorizzazioni richieste dalle app installate.
