È in circolazione una elaborata app Android sfruttata come malware e che all’utente viene mostrata come se fosse un aggiornamento di sistema. Ricercatori specializzati in sicurezza di Zimperium zLabs, riferiscono che l’app appare come un System Update ma in realtà recupera silenziosamente vari tipi di dati dal dispositivo dell’utente.
Da evidenziare che l’app è stata individuata su store di terze parti e non su Google Play Store, lo store ufficiale dal quale è sempre consigliabile scaricare le app per dispositivi Android. Una volta installata, l’app comunica con un server di comando e controllo (C2), un server che, da remoto, consente ai cybercriminiali di ottenere in qualsiasi momento vari dati preziosi.
Il programma malware che si spaccia per un aggiornamento di sistema Android è quello che in gergo viene definito come Remote Access Trojan (RAT), un software che permette all’amministratore di sistema (o a un cybercriminale) di avere accesso al sistema senza che l’utente se ne accorga o abbia dato il suo consenso. In base alla funzionalità RAT, un cybercrimimale potrebbe installare e avviare un diverso software, inviare comandi, scaricare o cancellare file, accendere il microfono o la fotocamera, autenticare l’attività, accedere ai contatti, all’elenco delle chiamate, recuperare foto e filmati, controllare la cronologia del browser e così via.
Anche le app di messaggistica istantanea sono ovviamente a rischio se è presente un RAT, e se il dispositivo è configurato come rooted è anche possibile cercare da remoto file particolari quali: .pdf, .doc, .docx, .xls, e .xlsx. Non manca la possibilità di recuperare file da unità di storage esterne.
“Quando il dispositivo della vittime è collegato con il Wi-Fi, tutti i dati rubati delle varie cartelle vengono spediti al server C2, mentre con la connessione dati del dispositivo mobile viene inviato solo un determinato set di dati”, spiegano i ricercatori. Limitare l’uso delle connessioni da WiFi è un modo per chi ha sospetti su qualcosa di installato sul proprio dispositivo di impedire il possibile furto di dati. Zimperium riferisce che il malware è in grado di tenere conto della “mole” dei dati da trasferire e comportarsi di conseguenza; riferisce ancora che si tratta di un software molto “sofisticato” e “con complesse capacità”.
Lo scorso mese Google ha rimosso dal Play Store una serie di app VPN che nascondevano funzioni per rubare credenziali: le app erano denominate Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary e Qrecorder e tutte si appoggiavano a una infrastruttura predisposta per diffondere il malware. Per ogni app è stato creato un nuovo utente sviluppatore per Google Play Store insieme a un repository sul proprio account GitHub che ha permesso di distribuire diversi payload ai dispositivi infettati da ciascuna delle app dannose.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
