Un’app torcia, su Google Play, nascondeva un pericoloso malware

Un’applicazione contenente una versione modificata del ransomware mobile Charger si è infiltrata all’interno di Google Play, ed è stata scaricata, dagli utenti, non meno di 5.000 volte.

La precedente versione di Charger era stata individuata nello scorso mese di gennaio. Questo temibile ransomware, che richiedeva il pagamento di 0,2 bitcoin per sbloccare il dispositivo compromesso, era stato furtivamente introdotto nell’app EnergyRescue, un’utility impiegata per la gestione della batteria, distribuita attraverso Google Play.

La nuova variante del malware è stata invece “cucita” all’interno di un’app con funzione di torcia, in apparenza del tutto legittima, denominata “Flashlight LED Widget”; a differenza della precedente versione, il target principale del malware non è rappresentato dal bloccare la schermata iniziale del dispositivo mobile, per poi richiedere il pagamento del riscatto.

La versione aggiornata di Charger è in grado di funzionare su tutte le versioni dell’OS Android, e riesce a nascondere in maniera piuttosto efficace la sua vera natura, altamente malevola. Essa genera insidiose schermate di phishing, in grado di imitare le funzionalità di cui sono provviste le applicazioni legittime; il malware in causa, inoltre, intercetta i messaggi di testo e blocca temporaneamente il dispositivo, allo scopo di impedire alle vittime di interferire con le attività fraudolente svolte dai processi nocivi in corso.

Al momento dell’installazione, il malware richiede agli utenti i diritti di amministratore, ed il permesso di sovrapporre la propria schermata a quella delle altre app installate (su Android 6.0 e versioni successive).

Nella nuova versione, denominata in codice Charger.B, per comunicare con il server di comando e controllo viene utilizzata la soluzione Firebase Cloud Messages (FCM). Il malware, inoltre, invia al proprio server C&C di riferimento la foto del proprietario del dispositivo, scattata con la fotocamera frontale. I ricercatori ritengono che il nuovo Charger non sia provvisto di un elenco fisso di app bancarie da sottoporre ad attacco.

In pratica, sulla base delle app effettivamente installate nel dispositivo infetto, il server di comando C&C “simula” le attività corrispondenti, provvedendo ad inviare al device il relativo codice HTML nocivo. Quest’ultimo viene eseguito dal componente WebView, non appena viene lanciata una delle app prese di mira. All’utente viene quindi mostrata una schermata fasulla, attraverso la quale si richiedono i dati relativi alla carta di credito, oppure le credenziali riguardanti l’account utilizzato per le operazioni di banking online.

I ricercatori, durante l’indagine svolta, si sono imbattuti in casi di attacco nei confronti dei clienti di Commbank, NAB e Westpac Mobile Banking, così come degli utenti di Facebook, WhatsApp, Instagram e Google Play. Una funzionalità talmente flessibile fornisce, di fatto, l’opportunità di poter modulare a piacimento l’attacco, e di colpire, quindi, qualsiasi applicazione.

Il blocco dello smartphone è, essenzialmente, una manovra diversiva, messa in atto allo scopo di tenere occupata la vittima, fintanto che i malintenzionati svuotano il conto bancario preso di mira. Gli utenti visualizzano, nella circostanza, una schermata fasulla, tramite la quale si indica che sul dispositivo è in corso l’installazione di un update, e pertanto il device non può essere sul momento utilizzato.

Charger.B è stato scoperto dagli analisti di ESET, i quali hanno subito provveduto a notificare a Google quanto individuato, ottenendo la rimozione dell’app maligna dal negozio online Google Play.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *