Non muovete quello smartphone, il trojan potrebbe svegliarsi
I ricercatori di Trend Micro hanno individuato un malware nascosto in due applicazioni Android ora non più presenti sul Google Play Store. Il programma si attiva solo quando l’utente sposta il cellulare ed è in grado di ottenere le credenziali di accesso ai servizi online. L’Italia è il quarto Paese più colpito.
Pubblicato il 25 gennaio 2019 da Redazione
Un trojan bancario in grado di attivarsi solo quando l’utente muove lo smartphone. È questo l’ultimo ingegnoso malware scovato dai ricercatori di Trend Micro, nascosto in due applicazioni Android all’apparenza legittime: un convertitore di valute (Currency Converter) e un software per l’ottimizzazione dei consumi energetici. Quest’ultima, nota sul Google Play Store come Batterysavermobi, è valutata con 4,5 stelle su 5 ed è stata scaricata oltre cinquemila volte. Gli esperti ritengono però che le recensioni siano fraudolente. Grazie anche alla segnalazione di Trend Micro, però, le due app non sono più presenti sul negozio online di Big G. Come spiegato in un blog post dai ricercatori, gli applicativi erano capaci di installare un payload maligno sugli smartphone, riconducibile al malware bancario Anubis.
Sia il codice sia il collegamento al server command and control, infatti, hanno fatto subito pensare a un campione di trojan modellato su Anubis. Secondo la società di cybersecurity, l’Italia sarebbe stato il quarto Paese più colpito da Batterysavermobi, con sei vittime, anticipata da Stati Uniti (10), Austria (56) e Giappone (336). Lo stratagemma ideato dagli hacker è sicuramente molto intelligente, in quanto il software maligno sfrutta i rilevamenti dei sensori integrati nei dispositivi per attivarsi.
“Se un utente si sposta, generalmente il device genera un certo quantitativo di informazioni di movimento”, scrivono gli esperti. “Lo sviluppatore parte dal presupposto che la sandbox utilizzata per riconoscere il malware è un emulatore senza sensori di movimento e, quindi, non creerà quel tipo di dato. Se questo fosse il caso, lo sviluppatore potrebbe determinare quando l’app viene eseguita in un ambiente sandbox semplicemente controllando quel genere di informazioni”.
Quando il codice decide di attivarsi, l’applicazione prova a convincere l’utente a scaricare e installare un Apk, contenente il payload, tramite un finto avviso di sistema. Una volta preso il controllo del dispositivo grazie anche alle autorizzazioni di Android (che le persone deve ovviamente riconoscere all’applicazione), Anubis è in grado, per esempio, di intercettare tramite keylogger i caratteri digitati sulla tastiera in fase di login ai servizi online.
Ma non solo, il programma può anche effettuare screenshot per ottenere le credenziali di accesso, copiare l’elenco dei contatti salvati in rubrica, registrare audio, monitorare la posizione, inviare messaggi di testo, effettuare chiamate e manomettere la microSd eventualmente inserita nel telefono.
SICUREZZA
- Phishing, attenzione alle nuove tattiche che superano i controlli
- Sicurezza in cloud più completa con l’accordo tra SentinelOne e Wiz
- Aziende lente, solo il 10% risponde alle cyber minacce entro un’ora
- Nuova struttura a tre livelli per il programma partner di Rubrik
- Gli errori di configurazione del cloud sono quasi ubiqui
NEWS
- Videosorveglianza con AI per le Olimpiadi di Parigi del 2024
- Altair unifica analisi dei dati e Ai nella piattaforma RapidMiner
- Trasformazione digitale, in Europa buone attese ma progetti lenti
- Nuove Gpu e alleanze nel cloud per spingere l’AI di Nvidia
- Data center Aruba, l’impegno per la sostenibilità è certificato
