Progettato per diffondere un nuovo spyware per Android e precedentemente sconosciuto chiamato Kamran, questo malware ha attaccato alcuni lettori di lingua urdu di un sito web di notizie regionali dedicato alla regione di Gilgit-Baltistan sono stati presi di mira da un attacco di tipo “watering hole“.
Le scoperte di Eset sul malware Kamran
La campagna, scoperta da ESET, sfrutta il sito Hunza News (urdu.hunzanews[.]net), che, quando viene aperto su un dispositivo mobile, chiede ai visitatori della versione in urdu di installare direttamente l’app Android ospitata sul sito web (anche se non esplicitamente dichiarato da Eset, è possibile abbiano sfruttato una falla in Android System Webview).
Tuttavia, l’applicazione incorpora funzionalità di spionaggio malevole, con l’attacco che ha compromesso almeno 20 dispositivi mobili fino a oggi. È disponibile sul sito web dal periodo compreso tra il 7 gennaio e il 21 marzo 2023, periodo in cui si sono verificate proteste su larga scala nella regione in merito ai diritti di terra, tassazione e gravi interruzioni di corrente.
Il malware, attivato durante l’installazione del pacchetto, richiede autorizzazioni intrusive, consentendo di raccogliere informazioni sensibili dai dispositivi; tra queste autorizzazioni abusive si includono contatti, registri delle chiamate, eventi del calendario, informazioni sulla posizione, file, messaggi SMS, foto, elenco delle applicazioni installate e metadati del dispositivo, per farla breve i dati raccolti vengono successivamente caricati su un server di comando e controllo (C2) ospitato su Firebase.
Kamran non dispone di funzionalità di controllo remoto ed è anche di design semplice, svolgendo le sue attività di esfiltrazione solo quando la vittima apre l’app e non ha la capacità di tracciare i dati che sono già stati trasmessi.
Ciò significa che invia ripetutamente le stesse informazioni, insieme a eventuali nuovi dati che soddisfano i suoi criteri di ricerca, al server C2; Kamran non è ancora stato attribuito a nessun autore o gruppo noto nel mondo delle minacce informatiche.
“Dato che questa app malevola non è mai stata offerta tramite il Google Play Store ed è scaricata da una fonte non identificata definita come sconosciuta da Google, per installare questa app, all’utente viene richiesto di abilitare l’opzione per installare app da fonti sconosciute [pratica piuttosto usuale, tra l’altro, per molte tipologie di software, anche sicuro]“, ha dichiarato il ricercatore di sicurezza Lukáš Štefanko.
Origine del nome Kamran
Giusto a titolo informativo, Kamran è un nome proprio di persona maschile il quale significato è “fortuna”, “successo” o anche “felicità”, il ché è terribilmente ironico visto anche lo scopo di questa minaccia informatica.
Conclusione
Questo attacco di rivolto ai lettori di lingua urdu del sito web regionale Hunza News rappresenta un serio avvertimento sulla crescente minaccia dei criminali informatici che mirano a utenti inconsapevoli per scopi malevoli; e l’uso di questo nuovo spyware sottolinea l’importanza di essere cauti durante la navigazione su Internet e di controllare per bene prima di scaricare applicazioni da fonti non verificate.
La sicurezza informatica è una priorità, e gli utenti dovrebbero sempre installare app solo da fonti affidabili come il Google Play Store e assicurarsi di avere le ultime patch di sicurezza; allo stesso tempo, le organizzazioni e le autorità devono lavorare per identificare e contrastare queste minacce digitali emergenti per proteggere la riservatezza e la sicurezza dei cittadini.
Mantenere alta l’attenzione sulla sicurezza informatica e la collaborazione tra esperti del settore è fondamentale per affrontare le sfide poste da tali attacchi; restare informati e vigilanti è il primo passo verso una navigazione sicura in un mondo sempre più connesso digitalmente.
