I ricercatori scoprono il nuovo malware mobile di Charming Kitten
I ricercatori di sicurezza che lavorano con IBM hanno recentemente pubblicato un'analisi di un nuovo pezzo di malware Android che viene diffuso e utilizzato dall'attore di minacce noto con gli alias Charming Kitten e APT35. I ricercatori hanno affermato che il malware è utilizzato da un attore di minacce che chiamano ITG18, con sospette connessioni con l'Iran, ma che questo APT ha anche una significativa sovrapposizione con Charming Kitten.
Il malware in questione si chiama "LittleLooter" e funge da backdoor per i dispositivi Android. LittleLooter è uno strumento utilizzato solo dal gruppo ITG18, secondo i ricercatori di IBM. Tuttavia, è anche uno con alcuni problemi di progettazione.
Il file contenente il malware è stato trovato su un server appartenente e associato al presunto gruppo di hacker iraniano. Il contenitore era un pacchetto di app Android che si fingeva un programma di installazione per WhatsApp denominato "WhatsApp.apk", con il checksum MD5 "a04c2c3388da643ef67504ef8c6907fb".
LittleLooter è un ladro variegato con molte funzionalità che includono la registrazione di video e suoni dal dispositivo infetto, il caricamento e l'estrazione di file dal dispositivo, la registrazione di conversazioni in corso, il controllo delle app installate, la manipolazione dello stato di attivazione/disattivazione di varie funzionalità sul dispositivo come come Bluetooth, Wi-Fi e dati mobili e il controllo dei registri delle chiamate.
I ricercatori hanno anche scoperto in precedenza ore di video destinati a insegnare agli hacker come utilizzare una versione precedente del malware. Il più recente LittleLooter è contrassegnato con v5, mentre i tutorial su come utilizzare il malware erano per v4.
Per la sua infrastruttura di comando e controllo, LittleLooter tenta di contattare un server che afferma di appartenere a un negozio di fiori americano, tra tutte le cose possibili, ed è online e funzionante dalla metà del 2020. La comunicazione è sia compressa che crittografata tramite AES.
Come per tutti gli attacchi simili e il malware mobile, i ricercatori di IBM hanno consigliato di abilitare l'autenticazione a più fattori su quanti più dispositivi e applicazioni possibili su quei dispositivi. Allison Wikoff, ricercatrice di sicurezza con IBM Security X-Force, ha affermato che i ricercatori continueranno a insistere sull'importanza dell'MFA fino a quando non saranno "confusi", soprattutto perché non tutti i fornitori lo implementano o lo rendono obbligatorio per i loro prodotti.
