Un sofisticato spyware Android, noto come Kamran, è stato scoperto mentre prendeva di mira gli utenti di lingua Urdu di un sito di notizie regionale dedicato alla regione di Gilgit-Baltistan. L’attacco, identificato come un “watering hole” da ESET, ha sfruttato il sito Hunza News per diffondere il malware attraverso un’app Android disponibile direttamente sul sito web.
La campagna di spionaggio e le sue vittime
L’applicazione, che incorpora funzionalità di spionaggio, ha compromesso almeno 20 dispositivi mobili fino ad oggi. È stata resa disponibile sul sito tra il 7 gennaio e il 21 marzo 2023, periodo coincidente con le massicce proteste nella regione per diritti fondiari, tassazione e prolungati blackout.
Permessi invasivi e raccolta dati
Una volta installato il pacchetto, lo spyware richiede permessi invasivi che gli consentono di raccogliere informazioni sensibili dai dispositivi, inclusi contatti, registri delle chiamate, eventi del calendario, informazioni sulla posizione, file, messaggi SMS, foto, elenco delle app installate e metadati del dispositivo. I dati raccolti vengono poi caricati su un server di comando e controllo (C2) ospitato su Firebase.
Limitazioni e modalità di trasmissione dei dati
Kamran non possiede capacità di controllo remoto ed è piuttosto semplice nella sua progettazione, effettuando le sue attività di esfiltrazione solo quando l’utente apre l’app e senza tracciare i dati già trasmessi. Ciò comporta l’invio ripetuto delle stesse informazioni, insieme a nuovi dati che soddisfano i criteri di ricerca, al server C2. Non è ancora stato possibile attribuire Kamran a nessun attore o gruppo di minacce noto.
Raccomandazioni per la sicurezza
L’applicazione maligna non è mai stata offerta tramite il Google Play Store e viene scaricata da una fonte non identificata, definita come sconosciuta da Google. Per installare l’app, agli utenti viene richiesto di abilitare l’opzione per installare app da fonti sconosciute, una pratica che espone a rischi significativi di sicurezza.
In conclusione, l’attacco spyware Kamran evidenzia la crescente necessità per gli utenti di essere consapevoli delle minacce alla sicurezza informatica e di esercitare cautela nell’installare applicazioni da fonti esterne al Google Play Store.