Scoperto dai ricercatori di ESET il primo spyware che sfrutta le basi del malware open source AhMyth, e che ha eluso il processo di verifica delle applicazioni di Google. L’app malevola, chiamata Radio Balouch aka RB Music, è a tutti gli effetti una radio in streaming dedicata agli appassionati di musica Balouchi, il cui vero scopo è però rubare i dati personali dei suoi utenti.
L’app è stata pubblicata nel Play Store Android per due volte ma prontamente rimossa da Google in entrambi i casi dopo aver ricevuto notifica da parte di ESET.
AhMyth, lo strumento di accesso remoto open source da cui l’app Radio Balouch ha preso in prestito le sue funzionalità dannose, è stato reso pubblico alla fine del 2017. Da allora sono state sviluppate varie applicazioni dannose basate su di esso ma Radio Balouch è la prima ad essere stata pubblicata sull’app store Android ufficiale.
La soluzione di sicurezza mobile di ESET protegge gli utenti da AhMyth che dai suoi prodotti da gennaio 2017 quindi da ancor prima che lo stesso venisse pubblicato. Poiché la funzionalità dannosa in AhMyth non è nascosta, protetta o offuscata, non è complicato identificare l’app Radio Balouch – e altre da esso derivanti – come dannosa e classificarla come appartenente alla famiglia AhMyth.
Oltre a Google Play, il malware, rilevato da ESET come Android / Spy.Agent.AOX, è stato disponibile su app store alternativi oltre ad essere stato promosso su un sito Web dedicato, tramite Instagram e YouTube. ESET ha provveduto a segnalare la natura dannosa della campagna ai rispettivi fornitori di servizi, senza però ricevere risposta.
Radio Balouch è un’app radio in streaming completamente funzionante per la musica specifica della regione di Balouchi (per motivi di coerenza, seguiamo l’ortografia utilizzata nella campagna; la trascrizione più comune è “Balochi” o “Baluchi”). Di base però l’app spia le sue vittime.
Su Google Play abbiamo scoperto due diverse versioni dell’app Radio Balouch dannosa e, in entrambi i casi, l’app aveva oltre 100 installazioni. Abbiamo segnalato la prima apparizione di questa app sullo store Android ufficiale al team di sicurezza di Google il 2 luglio 2019 ed è stata rimossa nelle 24 ore successive, per riapparire poi il 13 luglio 2019. Anche in questa occasione è stata immediatamente segnalata da ESET e rapidamente rimossa da Google.
Dopo l’ultima rimozione, attualmente l’app in questione è disponibile solo negli store di terze parti. È stata anche distribuita da un sito Web dedicato, radiobalouch [.] Com, tramite un link pubblicizzato tramite un account Instagram. Questo server è stato utilizzato anche per le comunicazioni C&C dello spyware (vedi sotto). Il dominio è stato registrato il 30 marzo 2019 e, da poco dopo la segnalazione da parte di ESET, il sito Web non è più attivo.
L’account Instagram degli aggressori al momento pubblica ancora un collegamento all’app che è stata rimossa da Google Play. E’ stato inoltre aperto un canale YouTube con un video che introduce l’app anche se non sembra essere pubblicizzato in quanto in questo momento le visualizzazioni sono solo 21.
Funzionalità
L’app dannosa Radio Balouch funziona su Android 4.2 e successivi. La sua funzionalità radio Internet è integrata con la funzionalità di AhMyth in un’unica applicazione dannosa.
Dopo l’installazione il componente radio Internet è perfettamente funzionante, riproducendo un flusso di musica Balouchi. Tuttavia, la funzionalità dannosa aggiunta consente all’app di rubare i contatti, raccogliere file memorizzati sul dispositivo e inviare messaggi SMS dal dispositivo interessato, oltre a poter sottrarre quelli già esistenti.
Tuttavia, questa funzionalità non può essere utilizzata poiché le recenti restrizioni di Google consentono solo all’app SMS predefinita di accedere a tali messaggi.
Poiché AhMyth ha più varianti le cui funzionalità variano, l’app Radio Balouch e qualsiasi altro malware basato su questo strumento di spionaggio open source potrebbe ottenere ulteriori funzioni in futuro tramite un aggiornamento.
Dopo il lancio, gli utenti scelgono la lingua preferita (inglese o persiano); nel passaggio successivo, l’app inizia a richiedere autorizzazioni. Innanzitutto, richiede l’accesso ai file sul dispositivo, che è un’autorizzazione legittima per un’app radio per abilitarne la funzionalità; se negata infatti, la radio non funzionerebbe.
Quindi, l’app richiede l’autorizzazione per accedere ai contatti. In questo caso, per camuffare la vera natira della richiesta, suggerisce che questa funzionalità si renderebbe necessaria qualora l’utente decida di condividere l’app con i propri contatti. Se l’utente rifiuta di concedere le autorizzazioni di contatto, l’app funzionerà a prescindere.
Dopo l’installazione, l’applicazione apre la sua schermata principale con opzioni musicali e offre la possibilità di registrarsi e accedere. Una registrazione che in realtà non è necessaria in quanto qualsiasi interazione l’utente abbia con l’applicazione, lo renderà automaticamente registrato. Probabilmente questo passaggio è stato aggiunto per cercare di ottenere le credenziali delle vittime e tentare di accedere ad altri servizi utilizzando i dati raccolti.
Un promemoria per ricordare agli internauti di non riutilizzare mai le medesime credenziali per diversi servizi.
Nota: Le credenziali vengono trasmesse non crittografate, tramite una connessione HTTP.
Per la comunicazione C&C, Radio Balouch si affida al suo dominio (ormai inesistente) radiobalouch [.] Com. Qui è dove invierebbe le informazioni che ha raccolto sulle sue vittime, in particolare le informazioni sui dispositivi compromessi e i relativi contatti. Come per le credenziali dell’account, il traffico C&C viene trasmesso non crittografato su una connessione HTTP.
Conclusione
La comparsa in più di un occasione del malware Radio Balouch sul Google Play Store, dovrebbe fungere da monito per il team di sicurezza di Google e gli utenti Android. A meno che Google non migliori le sue capacità di protezione infatti, un nuovo clone di Radio Balouch o qualsiasi altro derivato di AhMyth potrebbe essere nuovamente disponibile su Google Play.
Se attenersi alla regola di scaricare applicazioni solo da “fonti ufficiali” è sempre una valida opzione, da sola non può garantire la sicurezza.
Si consiglia vivamente quindi agli utenti di controllare ogni app che intendono installare sui propri dispositivi e di utilizzare un’affidabile soluzione di sicurezza mobile.
Indicatori di Compromissione (IoCs)
Lascia un commento