Malware Android nascosto in false app Immuni, Amazon e altre: la nuova trappola per rubare soldi - Cyber Security 360

L'ANALISI TECNICA

Malware Android nascosto in false app Immuni, Amazon e altre: la nuova trappola per rubare soldi

È stato individuato un sito fake che riproduce fedelmente il Google Play Store e usato dai criminal hacker per diffondere malware Android nascosto in una falsa app Immuni e in altre riconducibili a diversi noti brand fra cui banche ed e-commerce. Ecco come riconoscere la trappola e mitigare il rischio

23 Nov 2020
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

Attenti al finto Google Play Store che contiene malware dentro copie fasulle di app famose: Immuni, Amazon e altre.

Il malware permette ai criminali di sottrarre informazioni bancarie alle vittime.

L’elenco completo delle App con malware comprende una versione fraudolenta dell’app Immuni, e altre di Credem, Intesa San Paolo InBank, Latuabancaperandroid, Paypal, eBay e Amazon. Il finto Play Store diffonde la stessa applicazione (APK) malevola tramite l’utilizzo di diverse pagine all’apparenza identiche a quelle standard di Google.

Tutti i dettagli sul finto Google Play Store

La nuova trappola è stata individuata dal Cert-AgID che, in collaborazione con D3Lab, ha verificato che il finto dominio è stato registrato una decina di giorni fa con il nome di play[.]goooogle[.]services.

Gli analisti hanno inoltre scoperto che la versione fraudolenta del repository Google utilizza certificati Let’s Encrypt emessi gratuitamente: una caratteristica, questa, comune a numerose campagne di phishing.

Sia per la falsa app Immuni sia per tutte le altre, sono state create pagine Google Play in tutto e per tutto simili a quelle vere con l’intento di ingannare le potenziali vittime.

Come funziona il malware nascosto nella falsa app Immuni

Una volta avviata la falsa app Immuni, gli analisti hanno scoperto che in realtà la stessa si presenta un’app di IntesaSanpaolo che effettua traffico sulla porta 80 verso il dominio soofoodoo[.]club associato all’ IP 185.156.172[.]69.

Il Cert-AgID segnala la similitudine con il malware Anubis da cui molti Malware-as-a-Service (MaaS) derivano. In particolare, così come in Anubis, sono state riscontrate le funzioni dell’app cifrate con RC4 dentro una risorsa dell’APK, l’uso di un Accessibility service e il download di un APK aggiuntivo dal C2. L’app punta a rubare soldi alla vittima.

WHITEPAPER
Gli step per costruire una percorso efficace di Cyber Security Awareness
Sicurezza

Il malware Anubis, lo ricordiamo, è stato creato e pubblicizzato da un threat actor conosciuto con il soprannome di “maza-in” e può essere considerato uno dei trojan bancari per Android più utilizzati dalla fine del 2017. Da allora ha dato vita ad una famiglia di malware combinando funzionalità avanzate come lo streaming dello schermo, la navigazione remota di file, la registrazione di suoni, il keylogging e persino un proxy di rete, rendendo questo malware bancario efficiente ma anche un potenziale strumento di spionaggio.

Di fatto, Anubis è un malware ibrido per Android che consente ai criminal hacker di acquisire il controllo dei dispositivi infettati, sottrarre informazioni riservate e anche criptare i file delle vittime. In poche parole, rappresenta una integrazione fra un keylogger, un infostealer e un ransomware. A luglio 2019 ne furono segnalate oltre 17 mila nuove istanze e tutte indirizzate a target finali quali banche e istituti finanziari.

I consigli per la mitigazione del rischio

Il Cert-AgID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.

La stessa D3Lab ha divulgato l’IoC dell’Url malevolo su Twitter:

Secondo Alessio Pennasilico, Information & Cybersecurity Advisor in P4I, “non è la prima volta che i criminali creano siti o applicazioni tesi a trarre in inganno gli utenti per spingerli ad infettare i propri dispositivi”.

“Così come per il phishing, – continua l’analista – la nuova scoperta del Cert-AgID ci rende evidente una volta di più come i cyber criminali siano estremamente attenti reattivi e veloci nell’adeguare i contenuti al contesto contingente, esattamente come durante il lockdown primaverile molte mail fraudolente riguardavano il tema COVID-19”.

Di fronte a trappole del genere, sottolinea ancora Pennasilico, “le contromisure si basano principalmente sulla attenzione degli utenti nel non installare app inutili o provenienti da fonti non verificate. Sebbene gli utenti aziendali possano godere delle protezioni gestite centralmente dall’organizzazione, come mitigazione del rischio, è consigliabile per tutti, mantenere alta l’attenzione”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5