Gli hacker russi sono stati coinvolti in una serie di assalti di alto profilo, inclusa l’ingerenza nelle elezioni presidenziali statunitensi del 2016. Le motivazioni del Cremlino per eseguire questi attacchi non sono sempre chiare, ma spesso sono progettate per seminare il caos, generare sospetti e, guarda caso, allineare le casse degli hacker o dei loro sponsor. Gli hacker sponsorizzati dallo stato russo non sono interessati solo ad attaccare obiettivi negli Stati Uniti o in Ucraina.
L’organizzazione Turla, inizialmente identificata come un gruppo di hacker russo sponsorizzato dallo stato nel 2020, ha utilizzato alcuni malware Android molto sofisticati nascosti all’interno di un’app apparentemente innocua.
Gli hacker russi sono collegati ad uno spyware
Secondo Bleeping Computer, i ricercatori di sicurezza informatica di Lab52 hanno scoperto uno spyware che imita un utile strumento Android chiamato ‘Process Manager’. Il virus è camuffato da un normale APK, ma una volta installato, inizia a raccogliere dati sensibili e a trasmetterli agli autori del reato. Il software richiede 18 autorizzazioni una volta scaricato, incluso l’accesso alle funzioni di messaggistica, posizione e registrazione audio. I ricercatori non sanno come il malware ottenga l’autorizzazione, sebbene il codice dannoso lo faccia spesso utilizzando il servizio di accessibilità Android.
Una volta che il malware ha ottenuto tutto ciò di cui ha bisogno, esegue un’altra manovra subdola rimuovendo il suo simbolo prima di eseguirsi silenziosamente in background. Ci sono varie incognite su questo attacco malware, ma è unico, secondo i ricercatori, perché il software scarica molti altri payload dannosi, inclusa un’app redditizia chiamata ‘Roz Dhan: Earn Wallet cash’ che sembra legittima.
Sulla base della sua infrastruttura del server di comando e controllo, Bleeping Computer ipotizza che l’APK dannoso faccia parte di un sistema più grande e consiglia a tutti coloro che dispongono di uno smartphone Android di ricontrollare quali autorizzazioni dell’app hanno concesso alle proprie app, annullando eventuali richieste.