La Electronic Frontier Foundation e Lookout hanno identificato le attività di
Dark Caracal, una Advanced Persistent Threat che organizza e mette in atto operazioni molto articolate di
esfiltrazione di dati da dispositivi mobili e personal computer. Secondo la EFF si tratta di uno dei
primi casi documentati di APT focalizzate sul mondo mobile e in grado di lanciare operazioni di attacco a livello globale.
La EFF e Lookout hanno ipotizzato l'esistenza di Dark Caracal quando hanno rilevato attacchi in rete simili a quelli organizzati nel 2016 per colpire gli oppositori del presidente kazako Nazarbayev. Le metodologie di attacco usate allora
si sono replicate in seguito e soprattutto
la rete di comando e controllo dietro i nuovi attacchi rimandava a quella del 2016. Questo ha portato a concludere che esiste da tempo un
gruppo stabile e organizzato che mette in atto attacchi mirati, proponendosi al miglior offerente.
Si suppone che Dark Caracal
operi sin dal 2012 e nel tempo abbia distribuito qualcosa come 11 versioni di malware per Android e 26 per PC (Windows, Mac e Linux), colpendo bersagli in una ventina di nazioni tra cui
anche l'Italia. I bersagli sono di vario tipo, a seconda dei casi: militari, aziende, giornalisti, attivisti e professionisti in vari campi. Le tecniche di attacco usate hanno permesso di
rubare documenti, contatti personali, chat, registrazioni audio, SMS, fotografie e dati di identificazione.
La metodologia di attacco contro i device mobili Android è sempre la stessa e si basa sul portare i bersagli a
scaricare software apparentemente lecito ma che in realtà contiene un trojan che poi invia i dati presenti sul dispositivo a server remoti. Dark Caracal usa a questo scopo malware acquistato sul Dark Web ma ha anche sviluppato
un suo proprio trojan, denominato Pallas. Google è stata avvisata di questa minaccia e ha provveduto a "bonificare" il Google Play Store. Il problema è che gli attacchi cercano anche di portare gli utenti a scaricare app da
siti non controllati.
Dark Caracal ha attaccato
anche i PC, sia pure con forme di attacco meno originali. Gli utenti-bersaglio sono portati a scaricare malware con tecniche di
phishing, indirizzandoli su siti che replicano l'interfaccia e le funzioni di siti leciti, anche i più comuni social network. Paralellamente i malware vengono distribuiti anche attraverso
documenti Word infetti, che una volta aperti lanciano macro per scaricare i malware veri e propri.