Non muovete quello smartphone, il trojan potrebbe svegliarsi
I ricercatori di Trend Micro hanno individuato un malware nascosto in due applicazioni Android ora non più presenti sul Google Play Store. Il programma si attiva solo quando l’utente sposta il cellulare ed è in grado di ottenere le credenziali di accesso ai servizi online. L’Italia è il quarto Paese più colpito.
Pubblicato il 25 gennaio 2019 da Redazione
Un trojan bancario in grado di attivarsi solo quando l’utente muove lo smartphone. È questo l’ultimo ingegnoso malware scovato dai ricercatori di Trend Micro, nascosto in due applicazioni Android all’apparenza legittime: un convertitore di valute (Currency Converter) e un software per l’ottimizzazione dei consumi energetici. Quest’ultima, nota sul Google Play Store come Batterysavermobi, è valutata con 4,5 stelle su 5 ed è stata scaricata oltre cinquemila volte. Gli esperti ritengono però che le recensioni siano fraudolente. Grazie anche alla segnalazione di Trend Micro, però, le due app non sono più presenti sul negozio online di Big G. Come spiegato in un blog post dai ricercatori, gli applicativi erano capaci di installare un payload maligno sugli smartphone, riconducibile al malware bancario Anubis.
Sia il codice sia il collegamento al server command and control, infatti, hanno fatto subito pensare a un campione di trojan modellato su Anubis. Secondo la società di cybersecurity, l’Italia sarebbe stato il quarto Paese più colpito da Batterysavermobi, con sei vittime, anticipata da Stati Uniti (10), Austria (56) e Giappone (336). Lo stratagemma ideato dagli hacker è sicuramente molto intelligente, in quanto il software maligno sfrutta i rilevamenti dei sensori integrati nei dispositivi per attivarsi.
“Se un utente si sposta, generalmente il device genera un certo quantitativo di informazioni di movimento”, scrivono gli esperti. “Lo sviluppatore parte dal presupposto che la sandbox utilizzata per riconoscere il malware è un emulatore senza sensori di movimento e, quindi, non creerà quel tipo di dato. Se questo fosse il caso, lo sviluppatore potrebbe determinare quando l’app viene eseguita in un ambiente sandbox semplicemente controllando quel genere di informazioni”.
Quando il codice decide di attivarsi, l’applicazione prova a convincere l’utente a scaricare e installare un Apk, contenente il payload, tramite un finto avviso di sistema. Una volta preso il controllo del dispositivo grazie anche alle autorizzazioni di Android (che le persone deve ovviamente riconoscere all’applicazione), Anubis è in grado, per esempio, di intercettare tramite keylogger i caratteri digitati sulla tastiera in fase di login ai servizi online.
Ma non solo, il programma può anche effettuare screenshot per ottenere le credenziali di accesso, copiare l’elenco dei contatti salvati in rubrica, registrare audio, monitorare la posizione, inviare messaggi di testo, effettuare chiamate e manomettere la microSd eventualmente inserita nel telefono.
SICUREZZA
- Con Bionic, CrowdStrike unifica la protezione del cloud
- La threat intelligence di Mandiant incontra l’Xdr di SentinelOne
- Contro i rischi dell'AI generativa serve l'AI (e una strategia)
- Il Sase di Fortinet raggiunge le microfiliali e gli oggetti connessi
- Vectra AI porta l'intelligenza artificiale (brevettata) nell'Xdr
NEWS
- L’intelligenza artificiale nell’edge è anche in forma di servizio
- Analytics alternativi a Google: Piwik Pro presenta l’offerta
- Infinidat raddoppia la capacità e porta l’all-flash negli array ibridi
- FinOps, cresce la richieste di competenze per gestire i costi del cloud
- Con Bionic, CrowdStrike unifica la protezione del cloud
