App di chat Android utilizza codice per spiare, esponendo i dati dell'utente

App di chat Android utilizza codice per spiare, esponendo i dati dell'utente

Un'applicazione di chat per Android che afferma di essere una piattaforma di messaggistica sicura, è dotata di funzionalità di spionaggio e archivia i dati degli utenti in una posizione non sicura che è pubblicamente disponibile.

Welcome Chat si rivolge agli utenti di una regione specifica del mondo e si affida al codice open source per la registrazione di chiamate, il furto di messaggi di testo e il monitoraggio.

Autorizzazioni normali per l'app di chat

Gli sviluppatori di Welcome Chat lo hanno promosso come soluzione di comunicazione sicura disponibile nel Google Play Store. I destinatari sono utenti di lingua araba. È importante notare che alcuni paesi del Medio Oriente vietano questo tipo di app.

I ricercatori della società di sicurezza informatica ESET hanno scoperto che l'app offre qualcosa in più delle funzioni di chat pubblicizzate.

Le app esterne al Play Store richiedono agli utenti di consentire l'installazione da fonti sconosciute, cosa che accade nel caso di Welcome Chat.

Se gli utenti non rispettano questa bandiera rossa, l'app chiede l'autorizzazione per inviare e visualizzare messaggi SMS, accedere ai file, registrare l'audio e accedere ai contatti e alla posizione del dispositivo. Queste autorizzazioni sono normali per un'app di chat.

Codice open source per lo spionaggio

Dopo aver ottenuto il consenso dell'utente, Welcome Chat inizia a inviare informazioni sul dispositivo e contatta il suo server di comando e controllo (C2) ogni cinque minuti per i comandi.

I ricercatori affermano che il monitoraggio della comunicazione con altri utenti di Welcome Chat è al centro di questa app dannosa, che è integrata dalle seguenti azioni dannose:

  • filtrare i messaggi di testo inviati e ricevuti
  • rubare il registro della cronologia delle chiamate
  • rubare la lista dei contatti della vittima
  • rubare le foto degli utenti
  • filtrare le telefonate registrate
  • invia la posizione GPS del dispositivo insieme alle informazioni di sistema

I ricercatori hanno scoperto che gran parte del codice utilizzato per lo spionaggio proviene da fonti pubbliche, o da progetti open source o frammenti di codice pubblicati come esempi su vari forum.

Chiunque abbia sviluppato Welcome Chat non ha dedicato molto tempo a tale scopo. Probabilmente hanno cercato online la funzionalità di spionaggio desiderata e hanno preso il codice dai primi risultati.

Questa conclusione è supportata dall'età del codice per alcune funzionalità, che in alcuni casi è stata pubblicamente disponibile per almeno cinque anni. Le funzioni di registrazione delle chiamate e geo-tracking, ad esempio, hanno otto anni.

Che si tratti di un aggressore poco qualificato è anche suggerito dal fatto che l'app e la sua infrastruttura mancano di sicurezza di base come la crittografia dei dati in transito. Anche la connessione al sito Web di download non è sicura.

Dati dell'utente liberamente accessibili

"I dati trasmessi non sono crittografati e per questo motivo, non solo sono disponibili per l'utente malintenzionato, sono liberamente accessibili a chiunque si trovi sulla stessa rete", afferma Lukas Stefanko, ricercatore di malware Android ESET in un post di blog oggi.

Incluso nel database dell'app sul server c'è tutto tranne la password dell'account utente; nomi, indirizzi e-mail, numeri di telefono, token del dispositivo, immagini del profilo, messaggi ed elenco di amici.

Inizialmente, i ricercatori credevano che Welcome Chat fosse un'app legittima che era stata trojanizzata e cercava di avvisare gli sviluppatori. Hanno trovato una variante pulita solo su VirusTotal. È stato caricato a metà febbraio, una settimana dopo l'invio della versione dannosa alla piattaforma di scansione

Ciò ha portato alla conclusione che l'app era destinata allo spionaggio dall'inizio e che non esiste una variante benigna di uno sviluppatore legittimo.

Sebbene non ci siano prove concrete, Welcome Chat potrebbe essere il lavoro dello stesso gruppo dietro BadPatch, una campagna di spionaggio identificata nel 2017 che ha preso di mira gli utenti in Medio Oriente.

La connessione tra i due è il server C2 (pal4u [.] Net), utilizzato in entrambe le campagne. Lo stesso C2 ha servito un'altra operazione di cyberespionage scoperta da Fortinet nel 2019, rivolta a utenti palestinesi.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.