Cybersecurity nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber L'esperto risponde News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

L'ANALISI TECNICA

Android nel mirino di Ursnif: finte mail dell’Agenzia delle Entrate diffondono il malware DroidJack

È in corso in Italia una nuova campagna malevola Ursnif che, per la prima volta, prende di mira gli utenti Android diffondendo il RAT DroidJack nascosto in finte e-mail dell’Agenzia delle Entrate. Ecco come riconoscere la minaccia e i consigli per contrastarla

Pubblicato il 29 Mar 2023

Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

DroidJack per Android diffuso con campagna Ursnif

Gli stessi attori responsabili delle campagne Ursnif, in costante evoluzione in Italia, starebbero ora diffondendo DroidJack per Android, un RAT (Remote Administration Tool) veicolato tramite false e-mail dell’Agenzia delle Entrate contenenti link che rilasciano un APK trojanizzato.

“Per la prima volta assistiamo a una campagna Ursnif rivolta ad utenti Android. L’apertura di un nuovo fronte da parte di Ursnif risulta ancora più preoccupante se considerata insieme alle massicce ondate precedenti. Infatti, non solo abbiamo assistito ad un notevole incremento degli attacchi in termini quantitativi ma adesso si aggiunge una svolta qualitativa, in cui gli autori hanno investito risorse per spostare il loro target da Windows ad Android”, denunciano gli esperti di cyber security del CERT-AGID.

La falsa comunicazione dell’Agenzia delle Entrate

Il messaggio di posta elettronica rilevato e avente per oggetto “Notificazione! Comunicazione di compenso fiscale” riprendendo le finte comunicazioni della Agenzia delle Entrate, solitamente utilizzate per veicolare il malware Ursnif, invita il lettore a riscuotere un rimborso fiscale compilando un modulo proposto tramite link.

Tale link restituisce, se aperto da un dispositivo Android, un file APK denominato “Agenzia.apk” che nasconde il RAT DroidJack.

Falsa comunicazione dell’Agenzia delle Entrate (fonte: D3Lab).

I dettagli del RAT DroidJack

Messo a disposizione a chiunque acquisti la licenza a vita per 210 dollari come Malware as a Service, DroidJack è un RAT (Remote Administration Tool) Android che consente di allestire un file APK insospettabile, ma che in realtà nasconde un trojan per il controllo, il monitoraggio del traffico dati, l’intercettazione delle conversazioni, l’acquisizione di SMS, video e chiamate effettuate del dispositivo compromesso.

Sito promozionale del RAT DroidJack.

Dalle analisi effettuate dal CERT-AGID, appena installato, il campione malware rilevato provvede a:

  1. registrare il dispositivo compromesso inviando al server C2 (62[.]173.138.15) i dati su brand, modello, versione Android e numero di telefono;
  2. acquisire informazioni presenti sul dispositivo conservandole su di un database SQLite “SandroRat”;
  3. cifrare le informazioni con l’algoritmo AES (Advanced Encryption Standard) ed inoltrarle sulla porta 1177 del Server C2.

Campagna DroidJack: stessa matrice Ursnif, nuovo target

Come confermato dal CERT-AgID, la matrice di questa campagna sarebbe da attribuire agli stessi autori di Ursnif per una serie di elementi:

  • il tema dell’Agenzia delle Entrate;
  • le e-mail utilizzano lo stesso oggetto;
  • Il contenuto è identico a quello utilizzato per le campagne Ursnif;
  • l’utilizzo di link dinamici Firebase;
  • molte delle URL sono state già riscontrate nella campagna Ursnif del 14 marzo 2023.
  • l’infrastruttura che distribuisce i file APK è la stessa delle campagne precedenti di Ursnif.

Pertanto, sarebbe in corso un tentativo di colpire un nuovo bacino target (gli utenti Android rappresenterebbero il 30% delle potenziali vittime, secondo il CERT-AGID), aggiungendo così un’altra freccia all’arco degli operatori Ursnif, accrescendo di fatto la potenza di attacco già in atto perpetrato con massicce ondate malspam e in crescita nelle ultime settimane contro gli utenti Windows.

Raccomandazioni per difendersi da DroidJack

Si ricorda che l’Agenzia delle Entrate (che si dichiara come sempre totalmente estranea a questi messaggi) permette ai contribuenti di consultare le proprie informazioni fiscali attraverso l’area personale presente sul sito ufficiale e accessibile tramite SPID/CIE/CNS e in caso di dubbi sull’autenticità di eventuali comunicazioni di rivolgersi ai contatti reperibili sul sito istituzionale o all’Agenzia territorialmente competente.

In ogni caso di fronte ad una e-mail sospetta, si raccomanda sempre di:

  1. non fornire alcun dato personale;
  2. non aprire gli allegati;
  3. non cliccare su link eventualmente presenti;
  4. eliminare il messaggio ricevuto.

Per salvaguardarsi da questi tipi di insidie si consiglia altresì di non scaricare mai file APK da fonti alternative e di porre sempre attenzione ai permessi concessi alle applicazioni in fase d’installazione.

Il CERT-AGID ha reso disponibili gli IoC relativi all’attuale minaccia sulla sua piattaforma.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Leggi anche:

Who's Who

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • Aggiornamenti Android

  • sicurezza mobile

    Gli aggiornamenti Android di aprile 2025 correggono due vulnerabilità zero-day: i dettagli

    09 Apr 2025

    di Paolo Tarsitano

    Condividi
  • Edpb: le sfide sul diritto di accesso ai dati personali

  • data protection

    EDPB: le sfide sul diritto di accesso ai dati personali

    27 Gen 2025

    di Francesca Niola

    Condividi
  • Intelligenza artificiale e privacy: oggi più importante che mai

  • Guida pratica

    Privacy Badger: come e perché proteggersi dal tracciamento online

    08 Gen 2025

    di Matteo Cuscusa

    Condividi
  • Data breach nei firewall Cisco usati da enti governativi Usa: ecco come mitigare il rischio

  • sicurezza aziendale

    Cosa ci insegna la breccia nei firewall Fortinet

    06 Mar 2025

    di Giuditta Mosca

    Condividi