Al pari della sicurezza digitale, anche l’estro degli hacker non conosce tregua né cali d’ispirazione, come dimostrato dalla recente scoperta di due nuovi attacchi informatici, condotti ai danni di computer e device mobili.
Non disponendo di un Chromebook, l’unico modo per far girare le app Android su un computer è quello di usare un emulatore, come Memu, Bluestacks, o NoxPlayer: proprio quest’ultimo, secondo quanto reso noto dalla security house Eset, è stato inconsapevole vettore di un attacco hacker mirato, volto non ad arricchire i criminali (del gruppo “Stellera”) quanto più che altro a condurre una mirata operazione di spionaggio e sorveglianza nei riguardi di pochi e selezionati utenti asiatici (5, divisi tra Hong Kong, Sri Lanka, e Singapore).
Il tutto è cominciato con un attacco condotto al server res06.bignox.com della società sviluppatrice, BigNox, in modo da sostituire l’url per il download nelle API che si occupano di gestire gli aggiornamenti dell’emulatore: quest’ultimo, quindi, ha scaricato sui terminali delle vittime selezionate (e non su tutti gli utenti del software) quelli che sono stati identificati come malware appartenenti a 3 diverse famiglie.
Nell’attesa di saperne di più di quella che ha tutti i connotati per essere una spy story, non sembra meno inquietante quanto scoperto dall’azienda di sicurezza AddressIntel a proposito del malware battezzato dal nostro CERT-AgID come Oscorp. Quest’ultimo viene veicolato tramite mail che stimolano a scaricare e installare sullo smartphone il software Protezione Cliente, mediante un’app per Android (CustomerProtectio.apk / Assistenzaclienti.apk).
Una volta assolto a questo step, viene richiesto all’utente di concedere diversi permessi (leggere, scrivere e inviare SMS/MMS, installare o rimuovere app, effettuare chiamate, usare la fotocamera o il microfono, ignorare le ottimizzazioni della batteria, etc) e (mediante pop-up di richiesta visualizzati ogni 8 secondi) di attivare i servizi di accessibilità: da quel momento, un modulo keylogger registrerà tutto quello che viene digitato a schermo, eseguirà screenshot, leggerà i codici generati da Google Authenticator e ruberà criptovalute al portafoglio Blockchain.com Wallet reinstradandone i pagamenti. In più, saranno anche rubate le credenziali dell’utente, sovrapponendo moduli di log-in fittizi ad app come quelle bancarie o quelle di messaggistica.