In diffusione software spia per gli utenti TRE in Italia. 
- LUNEDÌ 11 DICEMBRE 2017

E’ stata rilasciata sugli app store Android un'app fake pensata appositamente per utenti italiani della società di telecomunicazioni TRE Italia.  "3Mobile Updater", questo il nome della app che a prima vista sembra un comune update, in realtà non è altro che un malware. L'app infatti appare molto molto simile all'app ufficiale usata da TRE per l'update del sistema operativo mobile. 
 
Come si diffonde:
Quando un utente fa click sull'icona del 3 Mobile Updater, l'app mostra una schermata (vedi sotto)
 
L'alert reca il seguente testo (in inglese)
“Caro cliente stiamo aggiornando la tua configurazione, sarà pronta il prima possibile”. 

In realtà in questa fase, l'app non sta aggiornando il dispositivo, ma raccogliendone le informazioni generali.Il messaggio serve a convincere l'utente a non interrompere l'infezione del dispositivo, convincendolo che l'update di sistema richieda un certo lasso di tempo. In realtà l'app esegue comunicazioni periodiche e riceve comandi dal server di C&C (Command and Control).
 
Che cosa fa? Un'analisi comportamentale
L'app principalmente ha lo scopo di sottrarre informazioni. Lo fa cercando di ottenere un lunghissimo numero di permissioni, per accedere a svariati tipi di fonti informative.  La quasi totalità delle funzioni dannose del malware avviene in background: l'utente ha una sola interazione col malware, ricevendo l'avviso sopra mostrato. L'utente quindi non riceverà nessun avviso sull'attività del malware: un meccanismo pensato appositamente per non insospettire la vittima. 
 
La lista delle fonti  dalle quale è in grado di attingere informazioni è lunga, non solo rubrica, SMS e registro chiamate, ma anche tutti i più vari social networks: Whatsapp, Instagram, Snapchat, Telegram, Line, Viber, Skype; è in grado di accedere a microfono e fotocamera, scattare foto e registrare audio.
 
Questo è l'elenco delle permissioni che il malware richiede:
  • android.permission.READ_CALENDAR
  • android.permission.ACCESS_COARSE_LOCATION
  • com.android.browser.permission.READ_HISTORY_BOOKMARKS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.CAMERA
  • android.permission.RECORD_AUDIO
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.GET_TASKS
  • android.permission.READ_SMS
  • android.permission.INTERNET
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.READ_CALL_LOG
  • android.permission.READ_CONTACTS
  • android.permission.READ_PHONE_STATE
  • android.permission.INSTALL_PACKAGES
  • com.sysmanager.permission.C2D_MESSAGE
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.GET_ACCOUNTS
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.WAKE_LOCK
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • com.google.android.c2dm.permission.RECEIVE
Le informazioni, prima salvate sul dispositivo stesso vengono poi caricate sul server Command and Control.
 
Che cosa fa? Un'analisi tecnica
Il codice è scritto in italiano: il malware quindi sembra pensato da cyber-attaccanti italiani per utenti italiani. E' difficile però comprendere a tutto tondo le funzionalità del malware, per il fatto che alcune parti di codice sembrano essere comprensibili solo allo sviluppatore del malware, non avendo significato e valore tecnico universale: ad esempio è impossibile capire a che funzioni rimandino certi messaggi come "Licenza non attiva", "Server Abilitata", "verifica PEM: inzio verifica". 

 
La presenza ricorrente, nel codice, della parola "TEST" fa presupporre che l'app sia un test, un prototipo in fase di sviluppo: l'app dimostra già, tuttavia, un'alta capacità di rubare le informazioni rispetto a moltissimi altri stealer già in diffusione.  La cosa più allarmante è che solitamente questo tipo di malware viene diffusa tramite email o SMS, in questo caso invece è stata caricata su uno store ufficiale.