Allarme EvilBamboo, il malware prende di mira sia Android che iOS

Nell’ultimo periodo si sta diffondendo in maniera consistente un malware noto come EvilBamboo o Evil Eye.

Questo agente malevolo, attivo online dal 2019, sembra essere protagonista di una massiccia campagna che prende di mira organizzazioni e individui tibetani, taiwanesi e uiguri. Nella lunga storia di EvilBamboo, aprile 2020 rappresenta una svolta concreta: attraverso un exploit Safari, infatti, il temibile malware ha dimostrato di poter essere efficace anche nel contesto iOS.

L’attuale contesto, a quanto pare, vede però come principali vittime utenti Android che, attraverso siti Web, canali Telegram e profili di social fittizi vanno a diffondere altri agenti malevoli, sfruttando una backdoor incorporata in un’applicazione legittima.

Sebbene Evilbamboo sembri circoscritto al territorio asiatico, si tratta di una minaccia da tenere sott’occhio: non è detto che, in futuro, una variante possa essere utilizzata anche in occidente.

EvilBamboo: ecco gli altri malware che è capace di distribuire tra le vittime

A rendere pericoloso questo malware, come già accennato, sono gli altri agenti malevoli che può diffondere. Tra di essi figurano:

• BADBAZAAR, distribuito anche attraverso forum taiwanesi che promuovono la condivisione di file APK. BADBAZAAR è in grado di archiviare SMS su terminale, ottenere registri delle chiamate, scattare foto e raccogliere informazioni sul dispositivo come IMEI, fuso orario, dettagli sulla rete Wi-Fi, app installate, elenchi di contatti e posizione del dispositivo;
• BADSOLAR è un malware distribuito tramite gruppo Telegram, capace di scaricare uno script di profilazione offuscato noto come JMASK;
• BADSIGNAL, ovvero una versione di Signal manipolata e dotata di una pericolosa backdoor, capace di agisce sia su Android che in ambiente iOS. Gli esperti hanno individuato anche una variante in grado di agire nel contesto di Telegram.

Anche se non vi sono certezze a riguardo, il target preso di mira da EvilBamboo e dai malware che distribuisce sembra riconducibile a gruppi hacker vicini al governo cinese.