Cybersecurity: attenzione al finto aggiornamento Android

Qualche giorno fa alcuni osservatori esperti in Cybersecurity hanno segnalato un falso aggiornamento Android potenzialmente molto dannoso per i device che utilizzano questo sistema operativo. L’attacco in questione cerca di diffondere un malware che, se installato sugli smartphone, darebbe modo agli hacker di prendere possesso di una lunga serie di funzionalità ed informazioni. Tutto comincia con una notifica, che indica la presenza di un importante aggiornamento software.

Lo smartphone sotto attacco mostra tre notifiche (vedi immagine in basso), la prima delle quali proveniente apparentemente dai sistemi Google. In verità, System Update è una app scaricata da siti malevoli e non presente nel Play Store, che sfrutta un’icona riconducibile alla nota azienda di Mountain View ma che in realtà non ha nulla a che fare con essa.

Fonte: Corriere.it

La minaccia che deriva dalla visualizzazione della notifica è insidiosa, poiché si tratta di un RAT (Remote Access Trojan) che consente all’attaccante il furto di dati e l’effettuazione di molte azioni, tra cui:

  • Visualizzazione Messaggi;
  • Lista contatti;
  • Lista chiamate;
  • Registrare di nascosto audio, video e chiamate;
  • Controllo file;
  • Scattare foto;
  • Dati GPS;
  • Accedere alle Chat private.

Quando l’app in questione viene installata sul proprio device, quest’ultimo viene registrato su un server della piattaforma Firebase di tipo C&C (Command and Control) che potrà effettuare diverse operazioni. L’esfiltrazione dei dati invece verrà portata avanti da un altro server C&C.

Gli esperti di Cybersecurity hanno notato che il funzionamento di questo RAT si sviluppa in due modi a seconda della connessione utilizzata. Se ci si collega tramite Wi-Fi, il server C&C riceverà tutti i dati estratti da varie cartelle, mentre se si utilizza la normale connessione ne riceverà solo una parte. L’avvio del furto avviene a condizioni specifiche come, ad esempio, l’aggiunta di un nuovo contatto in rubrica o l’invio di un messaggio. A proposito di messaggi, neanche le app di messaggistica istantanea come WhatsApp e Messenger sarebbero al sicuro dal furto di dati di questo RAT, che sfrutta le funzioni per l’accessibilità dello smartphone attaccato.

Per non essere scoperto dai sistemi di protezione, il malware cancella ogni traccia del suo passaggio dati al termine di ogni esfiltrazione.

Gli analisti di Zimperium, i primi ad aver osservato la minaccia, hanno osservato come il grado di sofisticatezza di questa app malevola sia molto elevato. Questo presuppone la verosimile presenza di altre app simili, capaci di effettuare le stesse operazioni. Il consiglio che ci sentiamo di dare agli utenti Android è, ovviamente, quello di scaricare sempre app provenienti dai canali ufficiali, agire al contrario significa esporsi a potenziali trappole come questa se non peggiori.

 

Fonti: 1, 2, 3