News

Un’app torcia, su Google Play, nascondeva un pericoloso malware

Un’applicazione contenente una versione modificata del ransomware mobile Charger si è infiltrata all’interno di Google Play, ed è stata scaricata, dagli utenti, non meno di 5.000 volte.

La precedente versione di Charger era stata individuata nello scorso mese di gennaio. Questo temibile ransomware, che richiedeva il pagamento di 0,2 bitcoin per sbloccare il dispositivo compromesso, era stato furtivamente introdotto nell’app EnergyRescue, un’utility impiegata per la gestione della batteria, distribuita attraverso Google Play.

La nuova variante del malware è stata invece “cucita” all’interno di un’app con funzione di torcia, in apparenza del tutto legittima, denominata “Flashlight LED Widget”; a differenza della precedente versione, il target principale del malware non è rappresentato dal bloccare la schermata iniziale del dispositivo mobile, per poi richiedere il pagamento del riscatto.

La versione aggiornata di Charger è in grado di funzionare su tutte le versioni dell’OS Android, e riesce a nascondere in maniera piuttosto efficace la sua vera natura, altamente malevola. Essa genera insidiose schermate di phishing, in grado di imitare le funzionalità di cui sono provviste le applicazioni legittime; il malware in causa, inoltre, intercetta i messaggi di testo e blocca temporaneamente il dispositivo, allo scopo di impedire alle vittime di interferire con le attività fraudolente svolte dai processi nocivi in corso.

Al momento dell’installazione, il malware richiede agli utenti i diritti di amministratore, ed il permesso di sovrapporre la propria schermata a quella delle altre app installate (su Android 6.0 e versioni successive).

Nella nuova versione, denominata in codice Charger.B, per comunicare con il server di comando e controllo viene utilizzata la soluzione Firebase Cloud Messages (FCM). Il malware, inoltre, invia al proprio server C&C di riferimento la foto del proprietario del dispositivo, scattata con la fotocamera frontale. I ricercatori ritengono che il nuovo Charger non sia provvisto di un elenco fisso di app bancarie da sottoporre ad attacco.

In pratica, sulla base delle app effettivamente installate nel dispositivo infetto, il server di comando C&C “simula” le attività corrispondenti, provvedendo ad inviare al device il relativo codice HTML nocivo. Quest’ultimo viene eseguito dal componente WebView, non appena viene lanciata una delle app prese di mira. All’utente viene quindi mostrata una schermata fasulla, attraverso la quale si richiedono i dati relativi alla carta di credito, oppure le credenziali riguardanti l’account utilizzato per le operazioni di banking online.

I ricercatori, durante l’indagine svolta, si sono imbattuti in casi di attacco nei confronti dei clienti di Commbank, NAB e Westpac Mobile Banking, così come degli utenti di Facebook, WhatsApp, Instagram e Google Play. Una funzionalità talmente flessibile fornisce, di fatto, l’opportunità di poter modulare a piacimento l’attacco, e di colpire, quindi, qualsiasi applicazione.

Il blocco dello smartphone è, essenzialmente, una manovra diversiva, messa in atto allo scopo di tenere occupata la vittima, fintanto che i malintenzionati svuotano il conto bancario preso di mira. Gli utenti visualizzano, nella circostanza, una schermata fasulla, tramite la quale si indica che sul dispositivo è in corso l’installazione di un update, e pertanto il device non può essere sul momento utilizzato.

Charger.B è stato scoperto dagli analisti di ESET, i quali hanno subito provveduto a notificare a Google quanto individuato, ottenendo la rimozione dell’app maligna dal negozio online Google Play.

Fonte: Threatpost

Un’app torcia, su Google Play, nascondeva un pericoloso malware

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox