lunedì 23 novembre 2020

Nuovo malware per Android sfrutta il nome di Immuni: dalle indagini emerge un dominio pieno di app fake

Questa storia inizia così, con le segnalazioni di alcuni utenti rimasti vittime di un attacco malware mentre tentavano di scaricare Immuni, l'app per il contact tracing scelta dal Governo italiano. 

Così gli esperti del Cert-AgID in collaborazione con D3Lab hanno avviato le indagini per poter studiare il malware, le modalità di diffusione e  risolvere il problema annullando i rischi: inutile infatti dire quanto possa essere estremamente problematica ogni singola app fake Immuni, ovunque essa sia messa in download, dato non solo l'importanza dell'app stessa ma anche della campagna comunicativa continua per incentivare i download.

Nel corso delle indagini è stato individuato un sito fake che riproduce il repository del Google Store: il sito è ben fatto e rende piuttosto difficile, per utenti poco avvezzi, rendersi conto di stare navigando su una pagina falsa. Nell'immagine sotto è visibile la pagina di download della versione fake di Immuni. 

Fonte: https://cert-agid.gov.it/

La somiglianza con Google Play, a parte poche differenze, è lampante. Anche l'URL rende difficile una delle più comuni analisi che dovremmo compiere quando navighiamo su un sito web, ovvero la verifica che l'URL del sito sia quello legittimo e non solo "simile". In questo caso l'operazione è assai complessa, perché il dominio che ospita la repository è play[.]goooogle[.]service: tale dominio risulta essere stato registrato solo 8 giorni fa e, esattamente come accade spesso per le pagine fake usate negli attacchi di phishing, usa certificati Let's Encrypt (authority che rilascia certificati per il protocollo TLS), che sono emessi gratuitamente per chiunque ne faccia richiesta. 

E' analizzando questo dominio che i ricercatori hanno fatto altre importanti scoperte: questa repository ospita e consente il download di molte altre app fake, quasi tutte in ambito banking e pagamenti
 

Fonte: https://cert-agid.gov.it/

Come si può vedere, lo stesso dominio ospita app fake di Credem, Intesa San Paolo, InBank, Paypal, eBay, Amazon ecc.. 

Qualche info in più sull'app fake Immuni
Il Cert-AGiD spiega che l'app fake Immuni si mostra "in quanto fake" soltanto all'avvio, quando, dopo il download e l'installazione, l'utente si trova a visualizzare quella che parrebbe essere un'app di Intesa San Paolo. Il traffico viene indirizzato verso il dominio soofoodoo[.]club, associato all'indirizzo IP 



L'app sembra derivare da Anubis, un malware per Android ibrido, con funzionalità di furto dati, keylogger e, in alcune versioni, ransomware. Si concentra principalmente sui dati finanziari, ma anche su credenziali di accesso ai servizi. E' distribuito nella forma del malware as a service, ovvero come malware affittabile online e con tanto di servizio di supporto, messo a disposizione di una rete di affiliati. A questo link gli indicatori di compromissione pubblicati: IoC

Non è la prima volta: Immuni è un cavallo di troia per i cybercriminali
Situazioni simili si sono verificati in tutto il mondo, almeno in ogni stato in cui si è deciso di adottare applicazioni di contact tracing. Riguardo Immuni nello specifico, le campagne di phishing si sono sprecate, così come gli attacchi malware: per fare un esempio, uno degli episodi più significativi è avvenuto tra Maggio e Giugno 2020 (ne abbiamo parlato qui). In quei giorni infatti, una falsa comunicazione email, apparentemente proveniente dalla Federazione Ordini Farmacisti Italiani diffondeva un file chiamato IMMUNI.exe dentro il quale si annidava, in realtà, il ransomware FuckUnicorn. 

Nessun commento:

Posta un commento