Nuova campagna FTCODE – Aggiornamento: Gli autori di FTCODE attaccano gli utenti Android

22/11/2019

ftcode ransomware

Il CERT-PA in data odierna (18/11/2019) ha avuto evidenze di un’altra possibile campagna di malspam volta a diffondere il ransomware FTCODE.

La campagna utilizza e-mail PEC all’interno delle quali è presente un unico link, il cui testo è preso dall’oggetto di una precedente conversazione con il mittente. Il link punta ad un file ZIP (al momento hostato su dropbox) con dentro un file VBS.

Per apparire legittimo il malware scarica e mostra la seguente immagine:

La versione diffusa è la 1117.1, anche questa versione cifra la chiave inviata al CnC, genera tutti i parametri crittografici usati casualmente ed esfiltra i dati personali (come le password) dell’utente.

Ricordiamo di porre particolare attenzione a questo tipo di malware in quanto, sia pur di semplice struttura, non da possibilità di recupero dei file una volta cifrati.

Android

Se i link sono visitati da un cellulare Android viene un file APK di nome PostaElettronicaCertificata.apk che se installato è in grado di:

  • Rubare gli SMS ricevuti, inviati ed in bozza.
  • Inviare SMS.
  • Rubare i contatti in rubrica.
  • Aprire URL arbitrari.
  • Impostarsi come applicazione manager degli SMS.
  • Fare chiamate, inclusi codici USSD.
  • Disinstallare applicazioni.
  • Presentare schermate di phishing quando si usano applicazioni di posta (es: GMail) o di messaggistica (es: WhatsApp).
  • Lanciare altre applicazioni.
  • Rubare la lista di applicazioni installate.
  • Deviare tutte le chiamate in ingresso ad un numero arbitrario.
  • Rendere il telefono completamente silenzioso.
  • Ruba il testo digitato sul telefonino (keylogger).
  • Registra le interazioni dell’utente con le altre app (quali sono e che schermate sono visualizzate).
  • Determina se il dispositivo è effettivamente usato tramite un contapassi.
  • Installa un servizio di accessibilità che, oltre ad implementare il keylogger, è in grado di fare click automatici sulle schermate del telefonino per disabilitare le impostazioni di sicurezza e risparmio energetico che interferiscono con l’app.
  • Si installa come applicazione in grado di amministrare il dispositivo.
  • Ruba le informazioni sul modello, marco, operatore, paese, numero di telefono e lievello di batteria del cellulare.
  • Scaricare nuove funzionalità dal CnC.

Ulteriori analisi sono ancora in corso, un’analisi tecnica e più precisa verrà eventualmente fornita con un bollettino.

Aggiornamento 22/11/2019: Bollettino CERT-PA-B007-191121Gli autori di FTCODE attaccano gli utenti Android

Indicatori di compromissione

  • IoC (.txt) – Hash, URL, Domini
  • Hashr (.txt) – SHA256
  • Android (.txt) – URL, Domini, Hash

Aggiornamento 26/11/2019

  • IoC (.txt) – Hash, URL, Domini
  • Hashr (.txt) – SHA256