I ricercatori di sicurezza hanno individuato alcune varianti di un nuovo Trojan Android, distribuito sotto forma di applicazione antivirus, ovviamente falsa, e conosciuto con il nome di "Naver Defender". La variante di cui stiamo parlando viene convenzionalmente chiamata KevDroid ed è un RAT (remote administration tool).


Questo malware è un stato programmato per impadronirsi di informazioni sensibili dai dispositivi compromessi e, come se non bastasse, sembra essere in grado di registrare le chiamate telefoniche. Esistono due varianti di KevDroid, un numero importante se si considera che il Trojan "madre" è stato rilevato solo due settimane fa. 

Che cosa fa? 
Entrambe le versioni hanno, bene o male, le stesse funzioni, ma differiscono nella maniera in cui si diffondono. Ad esempio una delle varianti usa l'exploit per Android, già conosciuto, CVE-2015-3636 per ottenere l'accesso root sul dispositivo compromesso. I dati sottratti vengono inviati, da tutte e due le varianti, ad un server unico di command e control usando un HTTP POST.  Per quanto riguarda le attività dannose, KevDroid:
  • registra telefonate e audio;
  • rubare cronologia web e file;
  • ottenere l'accesso come root;
  • rubare registri delle chiamate, SMS, e-mail;
  • raccogliere la posizione del dispositivo ogni 10 secondi;
  • raccogliere un elenco di applicazioni installate. 
Per registrare le chiamate in entrata e in uscita dal dispositivo compromesso, il malware si serve di una libreria opensource disponibile su GitHub. 

 
Le conseguenze dell'attacco
Se l'attacco ha esito positivo, il furto di informazioni può portare ad episodi spiacevoli quali  il ricatto attraverso immagini o informazioni "imbarazzanti o scottanti", raccolta di credenziali necessarie all'accesso sulle piattaforme di e-banking e di posta elettronica con conseguente furto di denaro, intercettazione del pin utile per l'autenticazione a due fattori, utilizzo della rubrica della vittima per diffondere ulteriori truffe ecc.... Tutti rischi derivanti dall'abitudine che quasi tutti ormai abbiamo di svolgere sempre più operazioni utilizzando lo smartphone.

Uno scenario simile ad un episodio della serie televisiva "Black Mirror"? Probabilmente le conseguenze ipotizzate dai ricercatori coreani ci si avvicinano molto, ciò che è chiaro è che le potenzialità di KevDroid fanno pensare ad un potenziale attacco spionistico. I ricercatori hanno anche scoperto un altro RAT, progettato per gli utenti Windows, condividere lo stesso server C & C e utilizzare anche l'API PubNub per inviare comandi ai dispositivi compromessi. 
 
Come proteggersi
Dal momento che tale malware può essere utilizzato anche per colpire i tuoi dispositivi, ecco alcuni consigli per proteggere il proprio device ed evitare situazioni spiacevoli: 
  • Non installare mai applicazioni da store di terze parti.
  • Assicurati di aver già scelto Google Play Protect.
  • Abilita la funzione 'verifica app' dalle impostazioni.
  • Mantieni "fonti sconosciute" disabilitate quando non ne hai bisogno. 
  • Installa software antivirus e di sicurezza da fornitore di sicurezza informatica noto.
  • Effettua regolarmente il backup del tuo telefono.
  • Utilizzare sempre un'applicazione di crittografia per proteggere qualsiasi informazione sensibile sul telefono.
  • Non aprire mai documenti inaspettati, anche se sembra che provengano da qualcuno che conosci.
  • Proteggi i tuoi dispositivi con blocco pin o password in modo che nessuno possa ottenere l'accesso non autorizzato al tuo dispositivo quando rimane incustodito.
  • Mantieni il tuo dispositivo sempre aggiornato con le ultime patch di sicurezza