Era il mese di novembre quando i ricercatori di sicurezza di Recorded Future lo avevano avvistato , in vendita in un post in lingua russa su forum frequentati dai cybercriminali: i ricercatori di Heimdal Security, a pochi mesi di distanza, hanno verificato che la minaccia è ora attivamente sfruttata ai danni di utenti Android. MazarBOT consente a colui che lo controlla di avere accesso a pressoché tutti i dati del dispositivo infetto, e consente di operare in maniera silenziosa sul terminale, assoggettandolo al proprio controllo.
Il vettore di attacco è rappresentato da un SMS o un MMS che invita l’utente a visitare un link dove risiederebbe un’immagine ricevuta da un numero di telefono sconosciuto: il link conduce all’installazione di una applicazione che si spaccia per un servizio di visualizzazione di MMS, ma che si assicura i privilegi di amministratore sul dispositivo.
Il malware, dopo aver inviato un SMS a un numero iraniano con la localizzazione del dispositivo, procede all’installazione di Tor attingendo a fonti legittime, al fine di occultare le proprie comunicazioni, e all’installazione di Polipo, soluzione di proxy che viene configurata in modo da consentire agli aggressori di operare sul traffico di rete dell’utente, aprendo la strada ad attacchi man-in-the-middle.
In questo modo, MazarBOT dispiega tutte le proprie armi per offendere e difendersi: gli attaccanti possono inviare SMS a servizi a pagamento, alterare le impostazioni del device e manipolarlo a proprio piacimento, possono monitorare tutte le attività dell’utente del dispositivo, compresa ad esempio la lettura di messaggi che contengono codici di autenticazione per servizi di home banking, per cui il malware era pubblicizzato sui forum del cybercrime.
Ad essere risparmiati da MazarBOT sono gli utenti di lingua russa: i ricercatori non si dicono sorpresi , in quanto si tratta di una caratteristica rilevata spesso anche fra i malware per PC.
Gaia Bottà