Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Nuovo malware per Android: Mobstspy combina il furto di dati a funzioni di phishing
- VENERDÌ 4 GENNAIO 2019


E' stato individuato, disponibile in Google Play, un malware per Android che combina il furto di dati e informazioni a capacità di phishing. Si camuffa da diversi tipi di app legittime, sopratutto giochi e utility app: una di queste app fasulle ha collezionato, da sola, oltre 100.000 installazioni. 

Il malware in questione è stato ribattezzato Mobstspy e ha infettato dispositivi un pò in tutto il mondo, colpendo utenti provenienti da oltre 196 diversi paesi: il paese più colpito è l'India, con oltre il 31,77% sul totale delle infezioni fino ad oggi riscontrate. 


I ricercatori hanno individuato un totale di sei app, nel Google Play: i loro nomi sono HZPermis Pro Arabe, Flappy Bird, Win7Launcher, Win7imulator, FlashLight e Flappy Birr Dog. Stando alle statistiche, la maggior parte di queste app non hanno registrato più di 100 installazioni, con due eccezioni evidenti:
  • Win7Launcher, che ha registrato 5.000 installazioni;
  • Win7imulator, che ha registrato 500.000 installazioni. 
Le app che portano i temi di Windows su un telefono Android (un esempio è visibile nella foto sottostante), godono storicamente di una grande popolarità.

Funzioni di phishing per login Google e Facebook
Mobstspy include capacità di phishing che gli consentono di mostrare agli utenti false schermate di login ogni volta che le vittime tentano di accedere dal dispositivo infetto ai propri account Facebook e Google. Le false schermate di login sono veramente molto simili alle originali e tantissimi utenti sono caduti nel tranello. Una volta che una vittima ha inserito nome utente e password, il malware mostra un avviso che annuncia il fallimento del tentativo di accesso: in realtà le credenziali sono già finite nelle mani dei cyber criminali. Solo gli utenti che hanno attivato l'autenticazione a due fattori non hanno subito il furto completo degli account: tutti gli altri potrebbero aver subito una totale estromissione in seguito al cambiamento della password da parte degli attaccanti. 


Mobstspy mira a tutti i dati di valore
A differenza degli spyware più recenti, Mobstspy non mira solo un tipo specifico di dati, ma è interessato ad una vasta gamma di dati solitamente presenti nei nostri smartphone Android. Oltre a mirare alla rubrica, al registro delle chiamate e alle conversazioni di testo, il malware è dotato anche di un elenco di cartelle dove andare a cercare immagini e conversazioni vocali registrate e archiviate da diverse app. I contenuti target sono molteplici: audio, video, immagini, documenti... qualsiasi tipo di file contenuto in cartelle appartenenti ad app specifiche, come WhatsApp, Messenger, Snapchat, Viper ecc... Nella lista di cartelle sono presenti anche le posizioni di archiviazione di Bluetooth, della fotocamera e dei suoni del telefono. 


Tutte le informazioni raccolte vengono inviate ai server C&C:
mobistartapp[.]com, coderoute[.]ma, hizaxytv[.]com, and seepano[.]com.

Per l'invio delle informazioni il malware usa Firebase Cloud Messaging, una app sviluppata da una sussidiaria di Google come soluzione gratuita per messaggi e notifiche per app Android, iOs e web. Una volta avviata l'app dannosa, il malware controlla la disponibilità della rete del dispositivo, quindi legge e analizza un file di configurazione XML dal proprio server C&C. Alcune informazioni tra quelle raccolte dal malware sono relative soltanto al dispositivo infetto: sono informazioni che gli attaccanti useranno per tenere il conto dei dispositivi infetti, ma anche per targettizzare meglio dispositivi specifici nelle campagne future. 

Una volta che questi dati sono stati inviati al server C&C, il dispositivo infetto viene registrato e il malware può ricevere i comandi da eseguire tramite il servizio di messaging Firebase. 

Le app sono state disponibili al download fino al 2018: 5 di queste app erano già state individuate e sospese da Google nel Febbraio 2018, mentre è certo che alcune di loro hanno resistito sul Play Store un periodo non specificato ma assai lungo (come anche il conteggio installazioni rivela). Ad oggi, comunque, nessuna di queste è più disponibile sullo store online di Android. Tutte le app sopra elencate però rimangono disponibili in moltissimi store Android di terze parti. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 29 LUGLIO 2019
Sicurezza IoT: Il Miner Trinity usa le porte ADB aperte per colpire i dispositivi smart
Ormai praticamente tutti dispongono di un dispositivo IoT: la quasi totalità di questi usano processori ARM e eseguono un sistema operativo Android o Unix. Tra questi dis...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login