Secondo un nuovo rapporto rilasciato da Facebook, un gruppo attivo nello spionaggio informatico, che si ritiene operi dall’India e dal Pakistan, ha spiato migliaia di persone utilizzando malware mascherati da popolari app di messaggistica.
Il rapporto descrive in dettaglio gli sforzi di un gruppo noto come Bitter Apt, che ha installato malware su dispositivi Android tramite versioni false delle app di messaggistica crittografate WhatsApp, Signal e Telegram, diventato popolare tra gli ucraini come strumento per comunicare informazioni sull’invasione russa. Facebook afferma che il malware, soprannominato “Dracarys” – nome trovato nel codice del malware e possibile riferimento al Trono di Spade -, può sottrarre tutti i tipi di informazioni da un dispositivo Android, inclusi registri delle chiamate, contatti, file, messaggi di testo e dati di geolocalizzazione. Può anche accedere alla fotocamera e al microfono di un dispositivo.
Il metodo con cui ingannavano gli utenti
Dracarys si è propagato sui siti di social media di Meta, Facebook e Instagram, tramite hacker che si fingono giovani donne attraenti, giornalisti o attivisti e che convincono le loro vittime a scaricare l’app fasulla. Una volta fatto, Dracarys abusa delle funzionalità di accessibilità e permette da remoto agli hacker di dare comandi al dispositivo, come la possibilità di accedere alla fotocamera.
Secondo Facebook, il malware riusciva a raccogliere i dati sul telefono sembrando legittimo, il che significa che i sistemi antivirus non sono riusciti a rilevarlo. “Ciò dimostra che, per qualche tempo, Bitter è riuscito a installare funzionalità dannose senza essere rilevato dai sistemi di sicurezza”, ha scritto Facebook nel suo rapporto.
In precedenza, Forbes aveva trovato collegamenti tra Bitter Apt e il governo indiano, dopo che il gruppo aveva acquisito gli strumenti di hacking Microsoft Windows di una società americana. Il gigante dei social media di proprietà di Meta non ha voluto dire se credeva che Bitter Apt fosse un gruppo con legami con l’India, ma ha notato che operava fuori dall’Asia meridionale, prendendo di mira persone in Nuova Zelanda, India, Pakistan e Regno Unito. La divisione di ricerca sulla sicurezza informatica Talos di Cisco ha recentemente affermato che il gruppo ha condotto attacchi dal 2013 contro enti energetici, ingegneristici e governativi in Cina, Pakistan e Arabia Saudita.
Non solo Android
Android potrebbe non essere stato l’unico obiettivo di Bitter Apt. Facebook ha anche riportato che i profili fake hanno distribuito collegamenti ai download di un’applicazione di chat per iPhone. Gli hacker hanno cercato di convincere le vittime a scaricare il servizio Testflight di Apple, tramite il quale è possibile installare e testare applicazioni ancora in versione beta tramite Ota. Utilizzando Testflight, gli hacker non hanno dovuto fare affidamento su un sofisticato hack tecnico dell’iPhone. Facebook non è stato in grado di determinare se questo software contenesse effettivamente un codice dannoso, ma ha ipotizzato che sia “stato utilizzato per ulteriore ingegneria sociale su un mezzo di chat controllato da un utente malintenzionato”. La società ha riferito i suoi risultati a Apple.
Apple non ha fornito commenti al momento della pubblicazione del report.
Un portavoce di Google ha dichiarato: “Il malware Android non è stato caricato e distribuito tramite il Play Store. Tutti i domini di distribuzione sono stati bloccati in Google Navigazione sicura e gli utenti Android che hanno installato questi pacchetti riceveranno un avviso sul proprio dispositivo”.
Altri hacker
Giovedì Facebook ha anche annunciato un’azione contro un’unità di hacking con sede in Pakistan nota come APT36. Anch’essa stava creando strumenti spia Android mascherati da app, tra cui WhatsApp, il social network cinese WeChat e YouTube. Quel malware era effettivamente una versione modificata di un noto strumento Android noto come XploitSPY, “originariamente sviluppato da un gruppo di hacker etici che si sono autodenunciati in India”. Era anche in grado di spiare contatti, elenchi di chiamate e ascoltare le vittime tramite il microfono del dispositivo. APT36 ha preso di mira persone in Afghanistan, India, Pakistan, Emirati Arabi Uniti e Arabia Saudita, “compresi personale militare, studenti, funzionari governativi, dipendenti di organizzazioni a tutela dei diritti umani e di altre organizzazioni senza scopo di lucro”.
Mike Dvilyanski, capo delle indagini sullo spionaggio informatico di Facebook, ha affermato che Meta ha identificato diecimila utenti in almeno nove paesi che potrebbero essere stati presi di mira da APT36 e Bitter Apt e sta avvisando gli utenti direttamente su Facebook e Instagram. “Se pensiamo che potresti essere entrato in contatto con uno di questi gruppi, vogliamo avvisarti e vogliamo dirti quali strumenti puoi utilizzare per proteggere la tua presenza online”, ha detto a Forbes.
Né le ambasciate pakistana né quelle indiana a Londra hanno risposto alle richieste di commento al momento della pubblicazione del report.
Per altri contenuti iscriviti alla newsletter di Forbes.it CLICCANDO QUI .
Forbes.it è anche su WhatsApp: puoi iscriverti al canale CLICCANDO QUI .