WolfRAT è un malware scoperto di recente che pare riesca a introdursi in Facebook e WhatsApp ledendo la privacy dei suoi utenti. Intercettato in campagne rivolte agli utenti thailandesi, WolfRAT pare che sia sia gestito da Wolf Research, un’organizzazione di spyware con sede in Germania che crea e lancia nel mercato malware di spionaggio ai governi.
Il malware ha la capacità di intrufolarsi nelle chat e ricavare le informazioni più intime nonché i dati sensibili degli utenti. Ad oggi i dispositivo attaccati hanno come sistema operativo Android.
Con tutta probabilità, l’installazione di WolfRAT avviene tramite il classico link malevolo o link phishing/smishing. Gli studiosi del fenomeno hanno anche localizzato il dominio del server command-and-control (C2) che si trova in Thailandia e apparentemente tratta l’argomento del cibo thailandese, che con molta probabilità è l’esca utilizzata dai cyber criminali per catturare gli utenti e spiare le loro conversazioni.
WolfRAT: qualche dettaglio
Una volta che sarà stato scaricato, WolfRAT simulerà servizi legittimi, come le applicazioni Google Play o gli aggiornamenti Flash, utilizzando le loro icone e i nomi dei pacchetti in linea di massima funzionali e che non interagiscono con il consumatore.
Il malware potrebbe servirsi del nome di un pacchetto cone “com.google.services” per simulare di essere un’applicazione Google Play. La scelta è apparentemente innocua e generica in modo tale da non creare sospetti e in linea di massima è rivolta ad utenti poco ferrati in tecnologia, per fare loro credere di essere semplicemente collegati a Google.
Infatti nel momento in cui il consumatore cliccherà sull’icona interessata vedrà solo le informazioni generiche di Google. Grazie a questo stratagemma, il soggetto colpito non avrà nessuna ragione per disinstallare l’applicazione. I ricercatori sono però riusciti a stabilire che il RAT (remote access trojan) si basa su un malware precedentemente trapelato di nome DenDroid.
DenDroid ha avuto il suo esordio nel 2014 e come caratteristiche principali ha quelle di non sfruttare il framework di accessibilità Android. il vecchio malware è supportato da comandi basati sullo spionaggio per catturare foto e video, registrare audio e caricare immagini. Sono stati rintracciati almeno quattro versioni principali del WolfRAT il che fa intuire che dia in atto una intensa fase di sviluppo.
Tra i vari permessi a cui riesce ad accedere il rat, è abbastanza preoccupante READ_FRAME_BUFFER, che può essere sfruttato da un’app per impossessarsi degli screenshot della schermata corrente del device in uso. Nonostante sia stato comunicato che l’organizzazione di spyware abbia chiuso i battenti, i ricercatori la pensano diversamente e credono invece che gli sviluppatori stiano lavorando a pieno regime. Per ulteriori aggiornamenti, continua a seguirci.