Dark Caracal: gruppo di hackeraggio per smartphone Android
Un gruppo avanzato di minacce persistenti (APT) denominato Dark Caracal ha utilizzato spyware Android per rubare centinaia di gigabyte di dati sensibili da più di 21 paesi.
Lo spyware rintracciato in un edificio appartenente all'intelligence libanese è riuscito a rubare "centinaia di gigabyte" di dati da migliaia di persone in più di 21 paesi attraverso numerose campagne avviate nel 2012. I tipi di dati rubati includevano registrazioni audio, messaggi di testo, chiamate, documenti, foto, informazioni di contatto, contenuto sicuro del client di messaggistica, dati dell'account e proprietà intellettuale aziendale.
Gli aggressori, che hanno capacità avanzate di minaccia persistente (APT) a livello nazionale, sono stati soprannominati Dark Caracal dalla Electronic Frontier Foundation (EFF) e dalla società di sicurezza mobile Lookout. Il gruppo ha preso di mira governi, militari, istituzioni finanziarie, aziende manifatturiere e appaltatori della difesa. Sebbene esistesse un componente di impianto per i desktop Windows, Mac e Linux infetti, le campagne erano principalmente finalizzate ad infettare i dispositivi Android tramite app di messaggistica non sicure come Signal e WhatsApp.
I dispositivi utilizzati per operare da Dark Caracal, fanno capo ad un edificio appartenente alla direzione della sicurezza generale libanese (GDGS), una delle agenzie di intelligence del Libano, a Beirut.
"Sulla base delle prove disponibili, è probabile che il GDGS sia associato o direttamente al supporto degli attori dietro Dark Caracal", si scrive nel rapporto tecnico Dark Caracal.
Tuttavia, l'attribuzione è complessa perché il malware viene utilizzato anche da altri gruppi, il che suggerisce che Dark Caracal è più un APT a noleggio, che un gruppo di hacker legato a un singolo stato nazionale. Di fronte a Reuters, il direttore generale di GDGS ha dichiarato: "La sicurezza generale non ha questo tipo di capacità. Ci piacerebbe avere queste capacità ".
Come Dark Caracal ha infettato i telefoni Android
Gli aggressori hanno inviato e-mail di spearphishing a persone che sono normalmente interessanti per i gruppi APT. L'indagine ha portato a dati associati a personale militare, imprese, professionisti medici, attivisti, giornalisti, avvocati e istituti di istruzione. In alcuni casi, invece di attirare le vittime su un sito malevolo, gli hacker avevano accesso fisico ai telefoni delle persone per installare le app.
Il vero malware che viene distribuito dalle applicazioni di messaggistica sicura trojanizzata si chiama Pallas. Le vittime non sono state prudenti, in quanto l'app ha mantenuto la piena funzionalità mentre i dati sensibili delle vittime sono state inoltrate a Dark Caracal. Sia che consentisse a Android di scattare segretamente foto, registrare silenziosamente l'audio, ottenere la posizione GPS o raccogliere le credenziali, le vittime hanno concesso agli aggressori il diritto di accedere ai dati privati concedendo le autorizzazioni quando hanno installato l'app.
"Una delle cose interessanti dell'attacco in corso, è che non richiede un exploit sofisticato o costoso. Al contrario, tutto ciò di cui Dark Caracal aveva bisogno erano le autorizzazioni delle applicazioni che gli utenti stessi concedevano quando scaricavano le app, non rendendosi conto che contenevano malware ", ha detto Cooper, Tecnico dello staff di EFF Cooper Quintin in un comunicato stampa. "Questa ricerca dimostra che non è difficile creare una strategia che consenta a persone e governi di spiare obiettivi in tutto il mondo".
Dopo che il comunicato stampa iniziale ha provocato una certa confusione , il FEP ha dovuto chiarire che né Signal né WhatsApp sono stati compromessi. Le infezioni erano il risultato di versioni "trojanizzate" delle app Android scaricate da una versione falsa di un app store.
Se hai scaricato le tue app da Google Play, "sei quasi sicuramente al sicuro". Detto in altre parole, "se hai scaricato le tue app dall'app store ufficiale, puoi stare tranquillo che questo probabilmente non ti ha colpito."
In una dichiarazione sul blog di Lookout, il team di sicurezza di Google Android ha aggiunto: "Google ha identificato le app associate a questo attore; nessuna app era nel Google Play Store. Google Play Protect è stato aggiornato per proteggere i dispositivi degli utenti da queste app e sta per essere rimosso da tutti i dispositivi interessati. "
Gli smartphone Android di tutto il mondo sono stati infettati, coprendo oltre 21 paesi in Nord America, Europa, Medio Oriente e Asia. Il FEP osserva: "Le persone che sono state colpite da Dark Caracal si trovano anche negli Stati Uniti, in Canada, in Germania, in Libano, i Italia e in Francia.
Lookout e EFF hanno rilasciato "oltre 90 indicatori di compromissione (IOC) associati a Dark Caracal, inclusi 11 diversi IOC per malware Android, 26 IOC di malware desktop su Windows, Mac e Linux e 60 IOC basati su dominio / IP."
