A causa del coronavirus, in sempre più aziende si è diffuso il lavoro remoto o ibrido, con tanto di politiche “Bring your own device” che, in sostanza, permettono di portare e/o usare i propri dispositivi personali anche per lavoro, accedendo a reti e dati aziendali. Ipso facto, tali device stanno diventando ancor più una preda ambita degli hacker che, di fatto, di recente hanno messo in piedi una complessa operazione a base di stalkerware.
Tale attacco, condotto tramite il malware battezzato PhoneSpy, è attualmente portato avanti tramite circa 23 applicazioni adulterate, riguardanti vari argomenti, dal lifestyle allo streaming TV, tutte citate debitamente sul sito della security house rinvenitrice, l’americana Zimperium. Secondo gli esperti, di tali app non v’è traccia né sugli store di terze parti, né sul Play Store e, di conseguenza, è facile desumere che le stesse siano state diffuse tramite ingegneria sociale, dirottando il traffico web verso siti compromessi, o inviando SMS con testo e call-to-action mirati.
Una volta ottenuto l’installazione di una delle app compromesse, da un server remoto di controllo e comando, che nonostante le segnalazioni inviate alla relativa hosting house è ancora in piedi ed operativo, gli hacker procedono ad attivare lo spyware PhoneSpy che, ottenute le autorizzazioni richieste, prende il controllo del device della vittima, generalmente un tablet o uno smartphone appunto animati da Android, andando a nascondere l’icona dell’app installata dall’elenco-drawler. A quel punto, inizia l’attività di tracciamento del malware, anche in grado di disinstallare eventuali app già presenti in loco, ad es. il software antivirus di stanza nel device compromesso.
Tra i dati scandagliati e rubati, vi sarebbe la cronologia delle chiamate, la rubrica del telefono, le info di quest’ultimo (marca, versione Android, codice IMEI, etc), la posizione precisa dell’utente, le sue credenziali, le immagini nella gallery, gli SMS, e l’elenco delle app installate. PhoneSpy sarebbe inoltre anche in grado di registrare dell’audio col microfono del telefono, o di acquisire foto e video tanto con la selfiecamera quanto con i sensori fotografici posteriori, onde conseguire elementi da spionaggio industriale, o per ricattare persone comuni e manager.
Al momento, la campagna hacker in questione scoperta da Zimperium, e prontamente segnalata alle autorità USA e sudcoreane, è partita in Corea del Sud dove, in poco tempo, ha già mietuto un migliaio di “vittime”.