L'ANALISI TECNICA

Anubis, il malware per Android che ruba dati e blocca i dispositivi: dettagli e consigli per difendersi

Infostealer, keylogger e ransomware: sono le tre componenti di Anubis, il malware ibrido per Android che consente ai criminal hacker di prendere il controllo dei dispositivi, rubare informazioni riservate, registrare le conversazioni e criptare i file della vittima. Ecco tutti i dettagli e i consigli per difendersi

10 Feb 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Una massiccia campagna di phishing diretta agli utenti di dispositivi Android sta diffondendo una pericolosa variante del malware ibrido Anubis nascosto in oltre 250 file APK compromessi e camuffati da finte applicazioni.

Scoperta dai ricercatori del Cofense Phishing Defense Center, la nuova variante di Anubis integra funzionalità di infostealer, keylogger e ransomware che consentono ai criminal hacker di prendere il controllo dei dispositivi Android, rubare informazioni riservate, registrare le conversazioni delle vittime e criptare i file archiviati nella memoria interna.

Anubis è dunque un pericoloso strumento di cyberspionaggio mirato verso aziende, professionisti e, più in generale, smart worker che adottano politiche di gestione di tipo BYOD (Bring Your Own Device, letteralmente: porta il tuo dispositivo) che prevedono l’utilizzo di dispositivi personali per scopi lavorativi e quindi per l’accesso ad informazioni e applicazioni aziendali.

Come si diffonde il malware ibrido per Android

Secondo gli analisti di d3lab che già nella seconda metà dello scorso anno avevano segnalato che l’Italia era interessata da queste tipologie di campagne malevoli, la diffusione del malware Anubis avviene attraverso e-mail malevoli che chiedono alle potenziali vittime di scaricare falsi documenti promozionali e contabili che, in realtà, altro non sono se non degli Android package APK compromessi.

Con l’apertura del file ha inizio il processo di installazione del malware: all’utente viene chiesto di abilitare un falso Google Play Protect che, in caso di consenso, darà all’applicazione scaricata una serie di autorizzazioni propedeutiche all’effettiva installazione delle varie componenti del malware. Prima fra tutte la disabilitazione del Google Play Protect originale in esecuzione sul dispositivo.

Anubis: la componente infostealer

L’analisi del codice rivela che l’applicazione va alla ricerca di determinate applicazioni installate sul telefono confrontando il risultato con un proprio elenco di applicazioni mirate: principalmente applicazioni bancarie, finanziarie, ma anche app store popolari.

Una volta identificata una determinata applicazione, questa verrà sostituita con un’app ingannevole opportunamente allestista per carpire le credenziali dell’utente tramite una pagina di login fasulla.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Di seguito si riportano alcune delle funzionalità tecniche della componete infostealer emerse da una analisi approfondita del codice malevolo di Anubis:

  • screenshot dumping;
  • attivare, modificare le impostazioni di amministrazione;
  • aprire e visitare qualsiasi URL;
  • registrare audio;
  • rubare i contatti;
  • controllare il dispositivo tramite VNC;
  • inviare, ricevere ed eliminare SMS;
  • bloccare il dispositivo;
  • crittografare i file nel dispositivo;
  • ricercare file;
  • recuperare della posizione GPS;
  • ricevere i comandi di controllo remoto dal server C2 tramite Twitter e Telegram;
  • leggere l’ID del dispositivo.

Anubis: la componente keylogger

Il malware integra anche un keylogger che deve essere abilitato in modo specifico dal server di comando e controllo e consente ai criminal hacker di monitorare tre diversi tipi di eventi:

  • l’evento clic su un pulsante di visualizzazione;
  • l’evento di impostazione del focus per l’input di una visualizzazione;
  • l’evento di modifica del testo.

Anubis: la componente ransomware

Anche la componente ransomware è particolarmente insidiosa, riuscendo a crittografare mediante algoritmo RC4 (uno tra i più diffusi algoritmi a chiave simmetrica utilizzato anche nei protocolli SSL e WEP) le unità di archiviazione interna ed esterna del dispositivo, inviando ciascun file cifrato (con estensione .AnubisCrypt) al server di comando e controllo remoto.

Ecco come mitigare i rischi di infezione

Le aziende soggette ad un maggior rischio di compromissione da parte di Anubis sono quelle che adottano come politica aziendale quella di consentire ai dipendenti di configurare il proprio dispositivo mobile per ricevere posta elettronica di lavoro e per l’installazione di applicazioni non firmate.

È dunque fondamentale adottare tutte le misure necessarie per proteggere questi dispositivi da attacchi informatici in grado di mettere in serie difficoltà sia i dipendenti sia le stesse aziende.

L’attuazione della pratica BYOD sempre più diffusa in ambito aziendale rappresenta, come evidenziato dai ricercatori, una reale minaccia in particolare per i dispositivi Android e deve essere applicata in modo consapevole e sicuro, assicurando un continuo aggiornamento dei dispositivi personali ad uso aziendale, consentendo il download di applicazioni esclusivamente da marketplace ufficiali e limitando l’installazione di quelle non strettamente necessarie.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5