martedì 7 aprile 2020

Campagna malware per Android contro utenti italiani: ci sono riferimenti all'INPS e al Covid-19


Con un tweet sul profilo ufficiale, l'INPS ha diramato ieri un alert riguardante una campagna malware volta alla diffusione di una applicazione dannosa ai danni dei dispositivi che eseguono il sistema operativo Android.

La campagna, via SMS, sfrutta come appoggio un dominio "verosimile", quanto falso, ovvero inps-informa[.]online.

L'sms fake. Fonte: https://twitter.com/malwrhunterteam


La homepage contiene un link che invita al download di una fantomatica applicazione per richiedere i bonus che lo Stato ha previsto e implementato in seguito all'emergenza Covid-19: ovviamente non è questa la procedura per la richiesta di tali bonus. 

Il portale fake con la richiesta di download dell'applicazione dannosa. Fonte: https://twitter.com/malwrhunterteam

Il link conduce al download dell'applicazione malware. Questo è diffuso anche tramite QrCode.

N.B: l'Inps non richiede il download di alcuna applicazione per accedere ai bonus. La richiesta è da compiersi tramite il portale ufficiale. L'indirizzo ufficiale dell'Inps è https://www.inps.it/.

La segnalazione all'INPS è avvenuta ad opera del Cert-PA, avvisata a sua volta dai ricercatori di D3Lab, che avevano segnalato già ieri mattina l'esistenza del dominio fake  inps-informa[.]online. Da qui il twitter tramite il quale l'Istituto di Previdenza Sociale ha diramato l'alert. Il sito web fake è stato messo offline. 

Qualche dettaglio tecnico
L'applicazione condivide gran parte del codice da un malware già conosciuto: parliamo di Anubis, che ha, tra le varie funzionalità, quella di keylogger, di infostealer e, in alcuni casi, persino di ransomware. Ruba informazioni e dati sensibili, può registrare conversazioni telefoniche e intercettare le digitazioni sul dispositivo. Non è la prima volta che il codice di Anubis viene utilizzato per infettare dispositivi Android: fu usato anche in occasione delle precedenti campagne FTCode

Il malware tenta di convincere l'utente a installare un servizio di accessibilità tramite il quale concede agli attaccanti la possibilità di leggere tutti i contenuti che transitano sullo schermo del dispositivo, ma anche la di simulare imput, funzionalità usata principalmente per chiudere eventuali messaggi di allerta provenienti dal sistema operativo o dalle app di sicurezza. Inoltre è proprio con questa tecnica che al malware vengono assegnati i privilegi di amministrazione sul dispositivo. 

Ecco altre funzioni di questo malware:

  • impedire la propria disinstallazione. La finestra di sistema viene chiusa automaticamente ogni volta che vi si prova ad accedere;
  • disinstallare applicazioni;
  • esfiltrare informazioni come numero di telefono, modello di dispositivo, operatore telefonico;
  • modificare i volumi dell'audio del dispositivo e indurre un blockscreen per richiedere un riscatto alla vittima;
  • leggere tutti gli SMS e nascondere quelli contenenti i codici relativi all'autenticazione a due fattori;
  • mostrare insistentemente pagine di phishing ogni volta che vengono aperte applicazioni come client email o applicazioni per l'home banking. 

Nessun commento:

Posta un commento