mercoledì 16 marzo 2016

Malware alert! Mazarbot, nuovo malware per Android


Recentemente è stato scoperto un nuovo Malware per Android, chiamato MazarBot che ha la capacità di dirottare gli smartphone degli utenti. Il malware si presenta sul telefono della vittima come un SMS, contenente il seguente testo:
You have received a multimedia message from +[xx] [xxxxxxxxxx]. Follow the link hxxp://www.mmsforyou[.]Net/mms.apk to view the message.


Nei laboratori di ricerca QuickLab è stato testato l’accesso a questo link ed un file APK (Android Package file: file usato per la distribuzione e l’installazione di applicazioni su dispositivi Android) è stato installato sul dispositivo in questione.
Questo file APK si è rivelato essere un malware piuttosto dannoso.



Una volta cliccato il link infatti, l’APK viene scaricato ed installa sul dispositivo un’applicazione chiamata “ MMS MESSAGING”, con un icona simile a quella dell’applicazione per gli SMS di Android.

Una volta lanciata, “MMS MESSAGING”  farà apparire una schermata di sistema che consentirà al Malware di acquisire le credenziali di Amministratore, attraverso la richiesta di acqusizione di  un codec per visualizzare gli mms. Una volta che questa pagina viene aperta non è più possibile chiuderla, ne tornare indietro con nessun tasto. L’unica opzione disponibile a questo punto e premere “Activate”. Una volta attivata l’applicazione l’icona sparisce ed il malware entra in azione in background.Non è facile da rimuovere perché il virus riesce ad accedere alle credenziali di amministratore. 

Azioni di MazarBot in background


  • Tutti gli sms in entrata vengono deviati su un server controllato dal virus e non vengono visualizzati
  • Può bloccare il dispositivo se riceve il comando “lock” dal proprio server
  • Può fare chiamate e deviare chiamata in entrata
  • Può modificare i risultati e le pagine di Google Chrome
  • Può inviare sms a numeri e servizi a pagamento, facendo lievitare le spese telefoniche dell’utente
  • Può vedere quali app si stiano usando; se l’app è di interesse per il malware, invia una pagina HTML simile a quella dell’app in modo da rubare credenziali d’accesso ad esmpio per Facebook e Gmail
  • Può inviare sms a numeri e servizi a pagamento, facendo lievitare le spese telefoniche dell’utente

Come rimuovere MazarBot
Non è un malware facile da rimuovere perché si impossessa delle credenziali di amministratore. Per farlo è necessario avviare il dispositivo in modalità provvisoria e disattivare i privilegi dell’Admin (amministratore) da qua. Una volta fatto questo è possibile rimuovere MazarBot

Nessun commento:

Posta un commento