Privacy Policy

mercoledì 23 novembre 2016

Malware in Android prende di mira le app di mobile banking

Ennesimo caso di malware nella piattaforma Android scoperto dagli analisti di Fortinet: stavolta si tratta di un app malevola che prende di mira 15 app di altrettanti istituti bancari tedeschi. In aggiunta, questo malware rileva se nel dispositivo sono installati antivirus e blocca il loro caricamento in memoria. Gli analisti hanno chiamato il malware Android/Banker.GT!tr.spy.



Esteticamente si presenta come una normale app/client di posta, la quale però richiede privilegi di amministratore all'installazione. 

Gli antivirus che il malware riconosce e blocca sono i seguenti:

com.qihoo.security                                                        
com.antivirus                                                            
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster          
com.antivirus.tabletcom.nqmobile.antivirus20                              
com.kms.free                                                              
com.drweb                                                                
com.trustlook.antivirus                                                    
com.eset.ems2.gp                                                          
com.eset.ems.gp                                                          
com.symantec.mobilesecurity                                                
com.duapps.antivirus                                                      
com.piriform.ccleaner                                                    
com.cleanmaster.mguard                                                    
com.cleanmaster.security                                                  
com.sonyericsson.mtp.extension.factoryreset                              
com.anhlt.antiviruspro                                                    
com.cleanmaster.sdk                                                        
com.qihoo.security.lite                                                  
oem.antivirus                                                            
com.netqin.antivirus                                                      
droiddudes.best.anitvirus                                                
com.bitdefender.antivirus                                                
com.dianxinos.optimizer.duplay                                            
com.cleanmaster.mguard_x8                                                
com.womboidsystems.antivirus.security.android                            
com.nqmobile.antivirus20.clarobr                                          
com.referplish.VirusRemovalForAndroid                                    
com.cleanmaster.boost                                                    
com.zrgiu.antivirus                                                      
avg.antivirus    

Dopo l'installazione il malware raccoglie informazioni sul dispositivo come IMEI,  numero di telefono ecc e rimane in attesa di comandi da parte del server C&C che possono essere i seguenti:

rent&&&: start intercepting all incoming SMS messages;
sms_stop&&&: stop intercepting incoming SMS messages;
sent&&&: send a text message;
ussd&&&: send a USSD request;
delivery&&&: send SMS messages to all contact list numbers;
api_server change the address of the command and C2 server;
Appmass: send mass text messages
windowStop: add a specified app to the exclusion list so that when the app is launched, the phishing screen is not displayed;
windowStart: delete a specified app from the exclusion list;
windowsnew: download an updated targeted apps list from C2 server;
updateInfo: send information collected from device to C2 server;
freedialog: display a templated-based dialog using Webview;
freedialogdisable: cancel the display of the Webview dialog;
adminPhone: change the phone number used to send SMS messages
killStart: set a password for screenlock;
killStop: clear the password from screenlock;
notification: display a notification with the received parameters.

La rimozione avviene tramite la disabilitazione dei privilegi di amministratore del malware:

Impostazioni > Sicurezza > amministratori dispositivo > Admin dispositivo > Disattiva

Secondo passo è lanciare il comando "adb uninstall [packagename]" tramite l'ADB (Android Debug Bridge). Per ulteriori info ed istruzioni vedere questa pagina

Per ora sembra che il malware colpisca solo gli utenti tedeschi ma potrebbe esser esteso a livello globale, prestare quindi la dovuta attenzione nell'uso del nostro dispositivo Android, anche quando scarichiamo app dallo store ufficiale, leggiamo le recensioni di chi ha già scaricato l'app e controlliamo di non assegnare privilegi troppo elevati ad app che non le richiedono, come nel caso di questo malware. 

Reazioni:

0 commenti :

Posta un commento