Una nuova campagna dannosa rivolta agli utenti Android tramite un'app trojan è stata rilevata in natura. Il carico utile della campagna è il trojan Vultur che raccoglie le credenziali bancarie, tra le altre attività dannose.
Il colpevole, un'autenticazione dannosa a due fattori (2FA) App, che era disponibile per il download per più di due settimane, è stato scaricato 10,000 volte. L'app era un autenticatore 2FA completamente funzionante (con lo stesso nome) ma è arrivato con un "bonus". Se hai scaricato l'app 2FA Authenticator, dovresti rimuoverlo immediatamente perché sei ancora esposto, Ricercatori del Pradeo avvertito.
Secondo il rapporto di Pradeo:
L'applicazione chiamata 2FA Authenticator è un contagocce utilizzato per diffondere malware sui dispositivi degli utenti. È stato sviluppato per sembrare legittimo e fornire un servizio reale. Per farlo, i suoi sviluppatori hanno utilizzato il codice open source dell'applicazione di autenticazione ufficiale Aegis a cui hanno iniettato codice dannoso. Di conseguenza, l'applicazione è mascherata con successo da strumento di autenticazione che garantisce che mantenga un basso profilo.
Tuttavia, la capacità più notevole dell'app trojan è che è in grado di richiedere autorizzazioni critiche che non rivela sul suo profilo Google Play. Grazie a questi permessi, l'app è in grado di eseguire le seguenti attività su un dispositivo Android compromesso:
- Raccogli e invia l'elenco delle applicazioni e la localizzazione degli utenti ai suoi autori, in modo che possano sfruttare le informazioni per eseguire attacchi mirati a individui in paesi specifici che utilizzano applicazioni mobili specifiche, invece di massicce campagne di attacco non mirate che rischierebbero di esporli,
- Disabilita il blocco tasti e qualsiasi password di sicurezza associata,
- Scarica applicazioni di terze parti sotto forma di presunti aggiornamenti,
- Esegui liberamente le attività anche quando l'app è spenta,
- Sovrapponi l'interfaccia di altre applicazioni mobili utilizzando un'autorizzazione critica denominata SYSTEM_ALERT_WINDOW per la quale Google specifica "Pochissime app dovrebbero utilizzare questa autorizzazione; queste finestre sono destinate all'interazione a livello di sistema con l'utente."
Un altro trojan Android recentemente divulgato è il trojan BRATA. Gli attori della minaccia hanno utilizzato il trojan per "perpetrare frodi tramite bonifici non autorizzati". Alcune delle sue capacità includono l'esecuzione del ripristino delle impostazioni di fabbrica del dispositivo, Tracciamento GPS, utilizzando più canali di comunicazione (come HTTP e TCP), ed essere in grado di monitorare continuamente l'app della banca della vittima tramite VNC (Virtual Network Computing) e keylogging.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: