Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

App fake per il tracciamento degli infetti da Coronavirus: come i cyber criminali sfruttano la paura
- MARTEDÌ 24 MARZO 2020


Per qualche giorno si è registrato un proliferare di applicazioni per il tracciamento di persone risultate positive al test da Covid-19: erano così tante da aver spinto Google a stabilire delle regole specifiche, inserendo queste app nella categoria "eventi sensibili", con policy molto stringenti. Ha poi provveduto ad eliminare proattivamente moltissime app fake dal Playstore, per impedire agli sviluppatori di malware di continuare ad avvantaggiarsi di questo difficile momento. 

Ma i cyber criminali hanno già trovato un nuovo sistema per infettare i telefoni degli utenti, visto che il PlayStore è per loro divenuto "terreno ostile". Adesso utilizzano siti web per pubblicizzare e pubblicare app dannose. I Quick Heal Security Labs ne hanno analizzato uno in particolare, all'indirizzo "coronavirusapp[.]site": su questo sito è possibile scaricare un'applicazione per Android che viene descritta come utile ad fornire in tempo reale informazioni e la geolocalizzazione dei malati di Coronavirus. In dettaglio si dice che l'app invii notifiche quando c'è una persona infetta nelle vicinanze. 


Ovviamente questa app non funziona, anzi, è un ransomware che blocca lo schermo del dispositivo e richiede un riscatto per sbloccarlo. 

Una breve analisi tecnica
L'app analizzata dai nostri laboratori si chiama Covid-19 tracker. Una volta lanciata, per prima cosa questa applicazione richiedere di ignorare l'ottimizzazione della batteria per poter funzionare in background. 


Se questa permissione viene concessa, avvia la sua attività dannosa, chiedendo l'autorizzazione per il servizio di accessibilità: questa è una funzione introdotta da Android per aiutare gli utenti con disabilità fisiche e ha accesso a informazioni riservate, come le informazioni sull'esecuzione di applicazioni sul telefono. Il prossimo passo è la richiesta delle permissioni di amministrazione: se queste vengono concesse gli attaccanti ottengono il controllo del dispositivo. 

Tra le funzioni dell'app fake ce n'è una indicata con "scan area for coronavirus": in realtà non si avvia alcuna scansione, mentre l'app ottiene il resto delle autorizzazioni che sono  necessarie per funzionare quindi nasconde la propria icona. L'utente non riuscirà a vederla più. 

Al termine di tutti questi eventi, l'applicazione blocca il dispositivo e crea la nota di riscatto. Ogni volta che l'utente proverà ad utilizzare un'applicazione si attiverà l'attività BlockedAppactivity che impedirà agli utenti di compiere qualsiasi azione. La nota di riscatto è visibile sotto: vengono richiesti 250 dollari di riscatto. Una seconda variante individuata in diffusione nel web richiede invece 100 dollari. Il bottone "web designus" reindirizza l'utente che vi clicca su una pagina Pastebin dove l'attaccante fornisce le istruzioni necessarie per sbloccare il telefono. 


Come sbloccare il telefono
In questo caso specifico gli autori del malware hanno fatto uno sbaglio, inserendo un meccanismo di verifica di codice pin nella stessa attività. BlockedAppactivity infatti ha al suo interno una funzione chiamata verifyPin() che verifica se viene inserito il codice codificato nel malware stesso, ovvero 4865083501. Inserendo questo codice l'utente può sbloccare il telefono. 

Conclusioni
Questa che abbiamo analizzato è solo una delle centinaia di app fake o dannose a tema Coronavirus diffuse nel web: la maggior parte non ha funzionalità di ransomware, ma di furto informazioni. Consigliamo a tutti gli utenti di fare riferimento ESCLUSIVAMENTE  a fonti verificate, come il sito web dell'Organizzazione Mondiale della Sanità o del Ministero della Salute italiano. 

Quick Heal Total Security per Android individua questa app fake come Android.Locker.O. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 3 LUGLIO 2020
Il 70% delle app di uso comune ha falle di sicurezza. Sei protetto?
La maggior parte delle applicazioni che usiamo attualmente sono sviluppate usando librerie open-source: parliamo di repositories di codice gratuito e libero che aiuta gli...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2020 nwk - Privacy Policy - Cookie Policy - Login