mercoledì 20 gennaio 2021

Nuovo malware per Android debutta in Italia spacciandosi per l'app Immuni

Il Cert-AGiD ha reso pubblica l'individuazione di un nuovo malware per Android in diffusione attualmente nello spazio italiano, ben nascosto dentro una versione fake dell'app Immuni appositamente creata dagli attaccanti e diffusa tramite vari domini creati ad hoc. 

Il malware in questione, segnalato originariamente dai ricercatori di Malware Hunter Team (MHT) via tweet, è nuovo in Italia ed è conosciuto col nome Alien: i ricercatori hanno anche provveduto a rendere pubblico i server di comando e controllo contattati dal malware. 

Il malware Alien
Alien è un nuovo trojan bancario pensato per la piattaforma Android specializzato nel furto di credenziali da oltre 226 app diverse. E' cioè pensato per funzionare mostrando all'utente false schermate di login: tutti i dati inseriti dagli utenti finiscono direttamente nelle mani degli attaccanti. 

Consente l'accesso in remoto al dispositivo infetto e può eseguire diverse azioni:

  • installare TeamViewer per mantenere l'accesso remoto al dispositivo;
  • sottrarre la lista contatti;
  • registrare le battiture da tastiera;
  • esfiltrare le informazioni sul dispositivo e l'elenco delle app installate;
  • raccogliere i dati di geolocalizzazione;
  • rubare, inviare, inoltrare SMS;
  • intercettare i codici generati per l'autenticazione multi fattore;
  • bloccare lo schermo;
  • installare ed eseguire app;
  • fare chiamate;
  • aprire il browser e impostarlo in navigazione su pagine specifiche. 

Ha capacità di propagazione su PC e sui dispositivi mobile: spesso si diffonde via SMS dannosi o app mobile fake. 

Discende dal malware Cerberus, ma ha subito diverse implementazioni e miglioramenti rispetto al predecessore: gioco facile, poiché il codice sorgente di Cerberus era stato rilasciato gratuitamente su vari forum nel dark web e non solo. Chiunque può, tutt'ora, trovare quel codice, modificarlo e riutilizzarlo. 

Questo è ciò che hanno fatto gli sviluppatori di Alien, divenuto poi anch'esso un malware as a service che prevede il noleggio del malware, la personalizzazione del payload e una serie di tool per comandare e controllare tutti i dispositivi infettati da esso. 

La versione fake di Immuni
Le foto sotto mostrano la falsa app Immuni e, soprattutto, le permissioni richieste al momento dell'installazione:



Pochi giorni dopo la segnalazione da parte di MHT, sono stati individuati anche i domini che ospitavano l'app fake

Fonte: D3Lab


Questo l'elenco dei domini fake fino ad ora individuati: 
  • wykurwyzpolicji.xyz,
  • blackdreamz.top,
  • dreamdime.top,
  • oldgoodshoe.top,
  • it-immuni.com,
  • chujwdupepolicji.xyz,
  • przestanmialienaprzesladowac.xyz,
  • ziobrotykurwo.xyz.

Qui sono disponibili gli Indicatori di Compromissione > IoC

Nessun commento:

Posta un commento