Advanced persistent threat (APT, questo e’ il termine utilizzato per descrivere una minaccia persistente attiva) è stata rintracciata in una nuova campagna che distribuiva malware Android tramite il portale Web di e-Government siriano, indicando un arsenale aggiornato progettato per compromettere i dispositivi delle vittime.
“Per quanto ne sappiamo, questa è la prima volta che il gruppo è stato osservato pubblicamente utilizzare applicazioni Android dannose come parte dei suoi attacchi“, hanno affermato i ricercatori di Trend Micro Zhengyu Dong, Fyodor Yarochkin e Steven Du in un articolo tecnico, pubblicato mercoledì.
Si ritiene che StrongPity, anche nome in codice Promethium da Microsoft, sia attivo dal 2012 e in genere si sia concentrato su obiettivi in Turchia e Siria. Nel giugno 2020, questo processo è stato collegato a un’ondata di attività che puntava su attacchi watering hole e installatori di app manomessi, che abusavano della popolarità delle applicazioni legittime, per infettare gli obiettivi con malware.
“Promethium ha resistito nel corso degli anni”, ha rivelato Cisco Talos lo scorso anno. “Le sue campagne sono state smascherate diverse volte, ma ciò non è bastato a far smettere gli hackers. Il fatto che il gruppo non si astenga dal lanciare nuove campagne anche dopo essere stato esposto mostra la loro determinazione a portare a termine la loro missione”.
Come e’ stato creato il malware
Si dice che il malware, mascherato da applicazione Android e-Gov siriana, sia stato creato nel maggio 2021, con il file manifest dell’app (“AndroidManifest.xml“) modificato per richiedere esplicitamente autorizzazioni aggiuntive sul telefono, inclusa la capacità di leggere contatti, scrivere su memoria esterna, mantenere attivo il dispositivo, accedere alle informazioni sulle reti cellulari e Wi-Fi, sulla posizione precisa e persino consentire all’app di avviarsi non appena il sistema ha terminato l’avvio.
Inoltre, l’app dannosa è progettata per eseguire attività di lunga durata in background e attivare una richiesta a un server di comando e controllo remoto (C2), che risponde con un payload crittografato contenente un file di impostazioni che consente al “malware di cambiare il suo comportamento in base alla configurazione” e aggiorna il suo indirizzo del server C2.
Ultimo ma non meno importante, l’impianto “altamente modulare” ha la capacità di recuperare i dati memorizzati sul dispositivo infetto, come contatti, documenti Word ed Excel, PDF, immagini, chiavi di sicurezza e file salvati utilizzando l’elaboratore di testi Dagesh Pro (.DGS ), tra gli altri, che vengono tutti esfiltrati nel server C2.