Scoperta campagna di spyware sponsorizzata dallo stato in Bielorussia
Indagine congiunta scopre campagna di spyware sponsorizzata dallo stato in Bielorussia
Una joint investigation condotta da RESIDENT.NGO e Reporters Without Borders (RSF) ha smascherato una campagna di spyware sponsorizzata dallo stato bielorusso, gestita dal KGB. Lo strumento di sorveglianza, chiamato ResidentBat, viene fisicamente installato sui dispositivi durante le detenzioni, trasformando gli smartphone in potenti strumenti di repressione. Il malware, in uso dal 2021, si concentra su giornalisti e membri della società civile in Bielorussia.
Come funziona il malware
Il malware è stato scoperto recentemente, quando un giornalista bielorusso è stato convocato per una “conversazione informativa” con il KGB. Durante l’interrogatorio, gli agenti hanno richiesto l’accesso al telefono del giornalista e hanno osservato il PIN di sblocco. Il dispositivo è stato restituito senza danni visibili, ma poco dopo è apparsa un’avvertenza su un’app sospetta. Ulteriori indagini hanno confermato che due app maliziose erano state installate, una delle quali mimava Adobe Reader, ma era in realtà ResidentBat.
Capacità del malware
ResidentBat è un malware modulare con capacità simili a quelle dello stalkerware. Abusa dei servizi di accessibilità di Android per accedere a dati sensibili su app di messaggistica crittografate come Signal, WhatsApp, Telegram e Viber. Ciò consente di catturare il contenuto dei messaggi mentre appare sullo schermo, bypassando la crittografia end-to-end. Oltre all’intercettazione dei messaggi, il malware può registrare le chiamate, accedere agli SMS, allo storage interno ed esterno, ai segnalibri del browser e persino attivare il microfono e la fotocamera a distanza. Può anche cancellarsi dal telefono su comando, eliminando le prove dell’infezione. Raccomandazioni per la sicurezza: per coloro che sono a rischio, RSF e RESIDENT.NGO consigliano di non portare dispositivi principali nelle stazioni di polizia o in altri luoghi ad alto rischio. Invece, utilizzare telefoni secondari “bruciati” con dati minimi e assicurarsi che il dispositivo sia regolarmente aggiornato e protetto con funzionalità come lo scrambling del PIN o il blocco a due fattori. Se un telefono è fuori vista mentre è in custodia, anche se solo per un breve periodo, dovrebbe essere considerato compromesso. Segnali di infezione possono includere app sconosciute con permessi di accessibilità, Google Play Protect disabilitato o notifiche inspiegabili durante le chiamate o mentre si carica. consigliata un’analisi forense completa o un reset di fabbrica prima di riprendere l’uso sensibile.
