Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
BusyGasper, lo spyware per Android “fatto in casa”
Il software è progettato per spiare l’attività dell’utente e usa alcune soluzioni che gli esperti di sicurezza definiscono “molto originali”.
Esistono diversi tipi di software spia per i dispositivi mobile: oltre ai “normali” trojan usati dai cyber-criminali per rubare informazioni riservate, ai ricercatori capita spesso di incappare anche in programmi commerciali distribuiti da società specializzate o in quelli messi a punto da enti governativi e servizi segreti. Nel caso di BusyGasper, però, capire di fronte a cosa ci si trova è piuttosto difficile.
Lo spyware è stato individuato dai ricercatori Kaspersky all’inizio di quest’anno e, come spiegano in un report molto dettagliato, ha caratteristiche piuttosto inconsuete.
Dal punto di vista delle funzionalità non si discosta molto da altri esemplari individuati in passato. In particolare, BusyGasper consente ai suoi autori di intercettare i messaggi inviati attraverso le più popolari applicazioni di Instant Messaging (WhatsApp, Viber, Facebook) e di installare ulteriori payload sui dispositivi.
Le anomalie, però, riguardano altre caratteristiche del software. Prima di tutto gli analisti non hanno trovato indizi di vettori di attacco come quelli usati comunemente dal cyber-crimine. Investigando sui pochi casi di infezione individuati (dalle parti di Kaspersky parlano di una decina di episodi) non è stato possibile individuare il vettore di attacco iniziale.
Anzi: alcune caratteristiche dell’applicazione (in particolare la presenza di un menu di configurazione “nascosto” accessibile dal dispositivo) fanno pensare che il software debba essere installato manualmente.
***foto***
Le stranezze, però, non finiscono qui. Il server Command and Control usato per controllare a distanza BusyGasper, per esempio, è un semplice server FTP ospitato da un servizio gratuito di hosting con sede in Russia. Alcune informazioni, inoltre, vengono inoltrate automaticamente dal server a un indirizzo di posta elettronica di Gmail.
È proprio da qui, tra l’altro, che i ricercatori di Kaspersky hanno potuto scaricare documentazione e materiale che gli hanno permesso di ricostruire il funzionamento del software di spionaggio.
Altra particolarità di BusyGasper è che sembra essere stato realizzato per colpire specificatamente i dispositivi Asus. I riferimenti al produttore taiwanese emergono sia nei file di log presenti sul server, sia in alcuni componenti che “riprendono” parti del firmware usato nei suoi prodotti.
Che si tratti di uno spyware estremamente anomalo emerge anche dallo strumento di keylogging che utilizza. Si tratta infatti di un sistema piuttosto bizzarro, che usa una mappatura dei tocchi sullo schermo attraverso coordinate e li traduce in caratteri confrontandoli con una sorta di tabella contenuta nel software stesso.
***foto***
Per le comunicazioni, inoltre, il malware utilizza il canale IRC, qualcosa che di solito viene utilizzato al massimo in ambito PC ma difficilmente si vede in campo mobile. Le comunicazioni, inoltre, non sono protette da crittografia.
Il codice è composto da due moduli. Quello iniziale si occupa sostanzialmente di stabilire il collegamento con il server C&C, mentre quello principale contiene una serie di strumenti che possono essere attivati attraverso comandi inviati in remoto.
L’impressione, leggendo la descrizione fatta dai ricercatori, è che si tratti di una sorta di malware “artigianale” usato in un numero estremamente ristretto di casi. Questo non significa, però, che non sia efficace. Anzi: leggendo l’elenco completo dei comandi a disposizione, tratto dal report di Kaspersky, ci si può fare un’idea abbastanza chiara delle sue potenzialità.
| Decimal | Char | Description |
| 33 | ! | Interrupt previous command execution |
| 36 | $ | Make a screenshot |
| 48 | 0 | Execute following shell: rm c/*; rm p/*; rm sdcard/Android/system/tmp/r/* (wipe environment paths?) |
| 63 | ? | Log device info and implant meta information |
| 66(98) | B(b) | Broadcast specified command to another component |
| 67(99) | C(c) | Set specified command on timer to execute |
| Debug | ||
| 68(100) 65(97) | D(d) A(a) | Log last 10 tasks by getRecentTasks api |
| 68(100) 83(115) | D(d) S(s) | Log info about device sensors (motion, air temperature and pressure, etc.) |
| 68(100) 84(116) | D(d) T(t) | Log stack trace and thread information |
| GPS module | ||
| 101 | e | Broadcast command to GPS-tracking external component |
| 71(103) | G(g) | Location tracking GPS/network |
| Interaction with operators | ||
| 73(105) 102 114 | I(i) f r | Get specified file from FTP (default – CMDS file with commands) |
| 73(105) 102 115 | I(i) f s | Upload exfiltrated data |
| 73(105) 73(105) | I(i) I(i) | Start/stop IRC service |
| 73(105) 76(108) | I(i) L(l) | Send current location to IRC |
| 73(105) 77(109) | I(i) M(m) | Push specified message to IRC |
| 73(105) 82(114) | I(i) R(r) | Read commands from the email inbox |
| 73(105) 83(115) | I(i) S(s) | Send specified file or all gathered data in email with UID as a subject |
| Network geolocation | ||
| 76(108) | L(l) | Get info on current cell_id |
| Camera features | ||
| 77(109) 99 | M(m) c | Capture photo |
| 77(109) 108 | M(m) l | Log information about available cameras |
| 77(109) 114 97 | M(m) r a | Start/stop audio recording (default duration – 2 minutes) |
| 77(109) 114 98 | M(m) r b | Start/stop audio recording with specified duration |
| 77(109) 114 44(114) | M(m) r ,(r) | Start fully customizable recording (allow to choose specific mic etc.) |
| 77(109) 114 115 | M(m) r s | Stop previous recording |
| 77(109) 114 116 | M(m) r t | Set recording duration |
| 77(109) 118 | M(m) v | Capture video with specified duration and quality |
| Common | ||
| 79(111) 102 | O(o) f | Hard stop of implant services, unregister receivers |
| 79(111) 110 | O(o) n | Start main implant service with all components |
| 80(112) | P(p) | Find specified images and scale them with “inSampleSize” API |
| 81(113) | Q(q) | Stop main implant service |
| 82(114) | R(r) | Execute specified shell command |
| Shared preferences setup | ||
| 83(115) 33 | S(s) ! | On/off hidden operator activity |
| 83(115) 61 | S(s) = | Shared preferences control (set/remove specified value) |
| 83(115) 98 | S(s) b | On/off sending SMS message after device boot |
| 83(115) 99 | S(s) c | Put boolean value in shared preference “cpyl” |
| 83(115) 100 | S(s) d | Put boolean value in shared preference “dconn” |
| 83(115) 101 | S(s) e | On/off periodically reenabling data connectivity |
| 83(115) 102 | S(s) f | Set GPS location update period |
| 83(115) 105 | S(s) i | Put boolean value in shared preference “imsg” |
| 83(115) 108 97 | S(s) l a | On/off foreground process activity logging |
| 83(115) 108 99 | S(s) l c | Start watching on captured photos and videos |
| 83(115) 108 102 | S(s) l f | Start watching on Facebook messenger database changes |
| 83(115) 108 108 | S(s) l l | On/off browser history logging |
| 83(115) 108 116 | S(s) l t | Start watching on Telegram messenger cache database changes |
| 83(115) 108 118 | S(s) l v | Start watching on Viber messenger database changes |
| 83(115) 108 119 | S(s) l w | Start watching on WhatsApp messenger database changes |
| 83(115) 109 | S(s) m | On/off sending log SMS messages |
| 83(115) 110(112) | S(s) o(p) | Set operator telephone number (for SMS logging) |
| 83(115) 113 | S(s) q | Set implant stop-mode (full or only main service) |
| 83(115) 114 | S(s) r | On/off execution shell as root |
| 83(115) 115 | S(s) s | On/off screen state logging |
| 83(115) 116 | S(s) t | On/off screen touches logging and number of related screenshots |
| 83(115) 117 | S(s) u | On/off debug logging mode with system thread info |
| 83(115) 120 | S(s) x | Use FTP connection via busybox or default Socket API |
| Sensor and display control | ||
| 84(116) 98 | T(t) b | On/off screen brightness |
| 84(116) 100 | T(t) d | On/off network data (internet) |
| 84(116) 75(107) 48 | T(t) K(k) 0 | Mute, turn off brightness, disable keyguard, use wakelock and listen on device sensors. |
| 84(116) 75(107) 49 | T(t) K(k) 1 | Disable features from previous command |
| 84(116) 75(107) 50 | T(t) K(k) 2 | Disable Keyguard instance |
| 84(116) 75(107) 51 | T(t) K(k) 3 | Write “userActivity” to log |
| 84(116) 115 48 | T(t) s 0 | Disable sensor listener |
| 84(116) 115 49 | T(t) s 1 | Register listener for specified sensor |
| 84(116) 115 108 | T(t) s l | Log int value from file /dev/lightsensor |
| 84(116) 119 48 | T(t) w 0 | Turn WiFi off |
| 84(116) 119 49 | T(t) w 1 | Turn WiFi on |
| 84(116) 119 108 | T(t) w l | Control WiFi lock |
| Common backdoor commands | ||
| 85(117) | U(u) | Download payload, remount “system” path and push payload there. Based on the code commentaries, this feature might be used to update implant components |
| 87(119) | W(w) | Send SMS with specified text and number |
| Updates from the newest version | ||
| 122 33 | z ! | Reboot device |
| 122 99 | z c | Dump call logs |
| 122 102 | z f p | Send gathered data to FTP |
| 122 102 | z f g | Get CMDS* text file and execute contained commands |
| 122 103 | z g | Get GPS location (without log, only intent broadcasting) |
| 122 108 102 | z l f | Dump Facebook messages during specified period |
| 122 108 116 | z l t | Dump Telegram cache |
| 122 108 118 | z l v | Dump Viber messages during specified period |
| 122 108 119 | z l w | Dump WhatsApp messages during specified period |
| 122 110 | z n | Get number of all SMS messages |
| 122 111 | z o | Set ringer mode to silent |
| 122 112 | z p | Open specified URL in webview |
| 122 114 | z r | Delete all raw SMS messages |
| 122 116 | z t | Set all internal service timers |
| 122 122 | z z | Remove shared preferences and restart the main service |
| 126 | ~ | On/off advanced logging mode with SMS and UI activity |
Condividi l'articolo
Bug Android nella gestione del Wi-Fi: qualsiasi app può sapere dove sei
Primi attacchi ai sistemi Apache Struts
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
