mercoledì 20 gennaio 2021
Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni
Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc.
Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware.
Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti.
Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:
installare TeamViewer per mantenere l'accesso remoto al dispositivo;
sottrarre la lista contatti;
registrare le battiture da tastiera;
esfiltrare le informazioni sul dispositivo e l'elenco delle app installate;
raccogliere i dati di geolocalizzazione;
rubare, inviare, inoltrare SMS;
intercettare i codici generati per l'autenticazione multi fattore;
bloccare lo schermo;
installare ed eseguire app;
fare chiamate;
aprire il browser e impostarlo in navigazione su pagine specifiche.
Ha capacità di propagazione su PC e sui dispositivi mobile: spesso si diffonde via SMS dannosi o app mobile fake.
Discende dal malware Cerberus, ma ha subito diverse implementazioni e miglioramenti rispetto al predecessore: gioco facile, poiché il codice sorgente di Cerberus era stato rilasciato gratuitamente su vari forum nel dark web e non solo. Chiunque può, tutt'ora, trovare quel codice, modificarlo e riutilizzarlo.
Questo è ciò che hanno fatto gli sviluppatori di Alien, divenuto poi anch'esso un malware as a service che prevede il noleggio del malware, la personalizzazione del payload e una serie di tool per comandare e controllare tutti i dispositivi infettati da esso.
La versione fake di Immuni
Le foto sotto mostrano la falsa app Immuni e, soprattutto, le permissioni richieste al momento dell'installazione:
Pochi giorni dopo la segnalazione da parte di MHT, sono stati individuati anche i domini che ospitavano l'app fake
Fonte: D3Lab