Il software Android è ovunque in questi giorni, anche trovando impiego sui moderni campi di battaglia. E proprio come le app sul tuo smartphone, il download di .APK potenzialmente compromessi da fonti non ufficiali può portare a conseguenze impreviste.
Un nuovo rapporto della società americana di tecnologia per la sicurezza informatica CrowdStrike ha scoperto che un gruppo di hacker noto come Fancy Bear ha incorporato un impianto di malware noto come X-Agent in un'app Android utilizzata dall'esercito ucraino. Si pensa che il gruppo abbia legami con le autorità russe che hanno sostenuto le forze ribelli in Ucraina, ed era stato precedentemente collegato alle fughe di e-mail del DNC in un altro rapporto pubblicato da CrowdStrike.
Dal blog CrowdStrike:
Verso la fine dell'estate del 2016, gli analisti di CrowdStrike Intelligence hanno iniziato a indagare su un curioso pacchetto Android (APK) chiamato 'Попр-Д30.apk' (MD5: 6f7523d3019fa190499f327211e01fcb) che conteneva una serie di artefatti in lingua russa che erano militari in natura. La ricerca iniziale ha identificato che il nome del file suggeriva una relazione con l'obice trainato D-30 da 122 mm, un'arma di artiglieria prodotta per la prima volta in Unione Sovietica negli anni '60 ma ancora in uso oggi. Il reverse engineering approfondito ha rivelato che l'APK conteneva una variante Android di X-Agent, il protocollo di comando e controllo era strettamente collegato alle varianti Windows osservate di X-Agent e utilizzava un algoritmo crittografico chiamato RC4 con una base di 50 byte molto simile chiave. Il nome del file "Попр-Д30.apk" era collegato a un'applicazione legittima inizialmente sviluppata a livello nazionale in Ucraina da un ufficiale della 55a brigata di artiglieria di nome Yaroslav Sherstuk. Nelle interviste ai media, il signor Sherstuk afferma che l'applicazione, che contava circa 9000 utenti, ha ridotto il tempo necessario per sparare con il D-30 da minuti a secondi. Nessuna prova dell'applicazione è stata osservata sull'app store di Android, rendendo improbabile che l'app sia stata distribuita tramite quella piattaforma.
Il rapporto prosegue affermando che se il malware X-Agent è stato distribuito con successo all'interno dell'applicazione, esso avrebbe consentito un'accurata ricognizione per le truppe ribelli sulla posizione dell'artiglieria ucraina posizioni. CrowdStrike ha scoperto attraverso rapporti open source che "le forze di artiglieria ucraine hanno perso oltre il 50% delle loro armi nei 2 anni di conflitto e oltre l'80% degli obici D-30, la più alta percentuale di perdita di qualsiasi altro pezzo di artiglieria nell'arsenale dell'Ucraina." Puoi leggere IL rapporto completo da CrowdStrike qui.
Questo caso è ovviamente un esempio abbastanza estremo del danno che le app compromesse possono causare, ma lascia che questo serva da severo promemoria per tutti noi su quanto possa essere facile scaricare app Android dannose dal Internet.