Come un'app maligna ha preso di mira i tifosi della FIFA Qatar


Di recente è stata scoperta un'applicazione mobile su Facebook, che in superficie sembrava essere un'innocente applicazione per gli aggiornamenti della Coppa del Mondo FIFA, ma sotto l'acqua si è rivelata un'applicazione dannosa che ha permesso agli aggressori di estrarre informazioni e file personali.
Uno dei nostri specialisti di sicurezza ha dato un'occhiata più da vicino all'applicazione: come funziona e come si individua un'applicazione dannosa?
FIFA World Cup 2022 App

Dato che gli smartphone sono diventati praticamente un'estensione della nostra mano, è logico che le persone siano sempre alla ricerca di applicazioni diverse che soddisfino le loro esigenze. Se è un appassionato di calcio e vuole rimanere aggiornato sulla Coppa del Mondo FIFA in Qatar, avere un'applicazione per ricevere i punteggi delle squadre e guardare le partite in diretta potrebbe sembrare una buona idea.

Nel tentativo di soddisfare questa esigenza, è nata un'applicazione su Facebook che, in apparenza, sembra fornire il punteggio delle partite, le notizie e persino la diretta di alcune partite. Tuttavia, c'è qualcosa in più che l'applicazione fa in background, ossia infettare il dispositivo mobile e consentire agli aggressori di estrarre informazioni e file personali.

**Disclaimer**: L'applicazione viene ancora distribuita dalle fonti menzionate di seguito. Il server CandC dell'applicazione è ancora attivo. Utilizzi le informazioni fornite in questa pagina a suo rischio e pericolo.

L'applicazione è stata scoperta per la prima volta da ESET il 25/11/2022. Potrebbero esserci più gruppi Facebook correlati ad essa, simili a quello mostrato di seguito.

Facebook Group

Questo Gruppo Facebook e tutti gli altri stanno semplicemente reindirizzando l'utente all'URL *kora442[.]com*, che è la pagina principale che distribuisce l'applicazione dannosa. Questa pagina web è ancora attiva durante la stesura di questo blog post e ha il seguente aspetto.

Website

Di seguito sono riportati i dettagli dell'applicazione.

Dettagli del pacchetto

  • Nome dell'applicazione: Kora 442
  • Nome del pacchetto: com.app.projectappkora
  • Codice versione: 1
  • Nome della versione: 1.0
  • SDK minimo: 21
  • SDK di destinazione: 21
  • Sha256: 3f19efe7ea5aed42c2876683278a4afffc5a696c5ecb5dec5319ff715a673474
  • Consenti backup: false

Dopo l'installazione, ci viene presentata una schermata con tutte le autorizzazioni richieste dall'applicazione:

Request permissions

Se tentiamo di rimuovere uno dei permessi, appare il seguente messaggio:

Remove permission

Il messaggio informa l'utente che se uno dei permessi viene negato, l'app potrebbe non funzionare come previsto. Questo è il motivo per cui gli sviluppatori dell'app hanno deciso di utilizzare come SDK di destinazione il livello 21. Questo rende più facile per gli utenti insospettabili accettare tutti i permessi in una volta sola e procedere da lì.

La figura seguente mostra come appare l'app dopo l'installazione, insieme ad alcuni dei traffici che genera:

First views with network

Inizialmente, quando l'applicazione è stata installata in un dispositivo virtuale, non erano presenti segni di attività dannosa. Un'ulteriore indagine ha rivelato che gli sviluppatori erano prudenti e avevano implementato diversi controlli per evitare l'esecuzione dell'applicazione in questi casi. Il traffico generato verso il server command and controls (CandC) (firebasecrashanalyticz[.]com), come si vede nella figura precedente, si è verificato solo dopo aver aggirato questi controlli.

Altre caratteristiche interessanti offerte dall'applicazione sono le seguenti:

  • Esfiltrazione crittografata di file/cartelle
  • Registrazione di chiamate/suoni
  • Accesso alla telecamera
  • Esecuzione di comandi nella shell (verifica dell'accesso come superutente)


Quasi immediatamente dopo che gli utenti iniziano a utilizzare l'applicazione, in background un servizio inizia a monitorare il dispositivo. Ad esempio, la clipboard viene monitorata e tutto ciò che viene copiato viene salvato come file temporaneo nell'archivio locale dell'applicazione, che poi viene zippato e protetto da password e lentamente caricato sul server. Gli sviluppatori hanno fatto un buon lavoro rimanendo furtivi durante l'esfiltrazione, evitando operazioni parallele che comporterebbero un consumo eccessivo di risorse.

Al momento della stesura di questo blog post, l'applicazione è già riuscita a infettare più di 1000 utenti. Una rapida analisi del fuso orario degli utenti infettati può essere vista qui sotto.

Chart

Quasi il 90% degli utenti ha il fuso orario di "Asia/Gerusalemme", il che molto probabilmente significa che anche gli sviluppatori si trovano nello stesso fuso orario o che le infezioni sono mirate a una regione.

Il numero di utenti infetti continuerà ad aumentare ogni giorno fino a quando il server che ospita l'applicazione e l'API non sarà terminato.

Consigli da seguire per individuare le applicazioni dannose:

  • Il primo e forse il più importante è quello di scaricare solo applicazioni verificate o che hanno un alto volume di utenti ( 100K).
  • Controlli i commenti che gli altri utenti hanno lasciato per quell'applicazione e presti attenzione a quelli a 1/2 stelle.
  • Se un'applicazione le chiede un numero eccessivo di permessi, deve stare in guardia.
  • Faccia attenzione a comportamenti insoliti, come annunci pubblicitari pop-up che prima non c'erano.
  • Controlli l'utilizzo insolito dei dati. Come nel caso dell'app che abbiamo visto sopra, dopo che il caricamento dei file è stato completato, dovremmo notarlo nell'utilizzo dei dati.
  • Infine, ma non meno importante, prenda in considerazione l'utilizzo di un'applicazione di sicurezza che mantenga alte le difese per lei.


Se ha domande su questo blog, non esiti a contattarci.

Contattaci keyboard_arrow_right
Tags: label mobile application label malware