Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

mercoledì 20 gennaio 2021
Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc.

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware.

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti.

Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

installare TeamViewer per mantenere l'accesso remoto al dispositivo;
sottrarre la lista contatti;
registrare le battiture da tastiera;
esfiltrare le informazioni sul dispositivo e l'elenco delle app installate;
raccogliere i dati di geolocalizzazione;
rubare, inviare, inoltrare SMS;
intercettare i codici generati per l'autenticazione multi fattore;
bloccare lo schermo;
installare ed eseguire app;
fare chiamate;
aprire il browser e impostarlo in navigazione su pagine specifiche.
Ha capacità di propagazione su PC e sui dispositivi mobile: spesso si diffonde via SMS dannosi o app mobile fake.

Discende dal malware Cerberus, ma ha subito diverse implementazioni e miglioramenti rispetto al predecessore: gioco facile, poiché il codice sorgente di Cerberus era stato rilasciato gratuitamente su vari forum nel dark web e non solo. Chiunque può, tutt'ora, trovare quel codice, modificarlo e riutilizzarlo.

Questo è ciò che hanno fatto gli sviluppatori di Alien, divenuto poi anch'esso un malware as a service che prevede il noleggio del malware, la personalizzazione del payload e una serie di tool per comandare e controllare tutti i dispositivi infettati da esso.

La versione fake di Immuni
Le foto sotto mostrano la falsa app Immuni e, soprattutto, le permissioni richieste al momento dell'installazione:

Pochi giorni dopo la segnalazione da parte di MHT, sono stati individuati anche i domini che ospitavano l'app fake

Fonte: D3Lab

Leave a comment



logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy