Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan per Android “kskas” scaricato automaticamente da annunci malevoli

dispositivi mobili  kskas  trojan   venerdì, 9 giugno 2017

I ricercatori di sicurezza di Zscaler hanno individuato un nuovo trojan per i dispositivi mobili Android che viene scaricato automaticamente, con una tecnica di drive-by attack, attraverso annunci pubblicitari malevoli inseriti in svariati forum Web “underground”, come ad esempio Godlike Productions.

Il malware viene memorizzato sul dispositivo della vittima sotto forma di un file APK chiamato “kskas.apk”. Se installato manualmente dall’utente, il pacchetto prende la forma di un’app per la pulizia del sistema chiamata “Ks Clean”. Una volta lanciata, l’app mostra un falso messaggio di aggiornamento di sistema con la sola possibilità per l’utente di premere il pulsante “OK” e accettare l’update (vedi immagine).

Schermata di KS Clean

Fonte: Zscaler

Se l’utente acconsente all’installazione dell’aggiornamento, il malware richiede l’installazione di un secondo APK chiamato “Update”, memorizzato localmente all’interno delle risorse dell’app. Non appena installata, l’app Update richiede come prima cosa l’attivazione come amministratore del dispositivo.

Una volta che l’app malevola ha ottenuto i privilegi di amministratore, risulta praticamente impossibile revocarli con le normali procedure previste da Android. Questo perché l’app si registra come “ricevitore” di eventi broadcast di sistema (classe DeviceAdminReceiver) e intercetta l’azione DEVICE_ADMIN_DISABLE_REQUESTED inviata ad un amministratore del dispositivo quando l’utente tenta di disattivarlo. In questo caso, l’app impedisce la disattivazione dei privilegi di admin e blocca lo schermo del dispositivo per alcuni secondi. Apparentemente, l’unica soluzione per la rimozione del malware rimane il ripristino del dispositivo alle impostazioni di fabbrica.

Durante l’esecuzione il malware si connette ad un server C&C da cui riceve vari parametri necessari a configurare le azioni malevole da effettuare. Questo trojan mostra alla vittima una serie di annunci pubblicitari fraudolenti sovrapposti alla schermata Home e alle altre app. Inoltre, sulla base delle autorizzazioni richieste, è in grado di compiere svariate azioni, tra cui:

  • montare/smontare i filesystem;
  • leggere/scrivere la cronologia dei segnalibri;
  • disegnare sopra le finestre di sistema;
  • sovrascrivere le impostazioni;
  • scaricare file in maniera nascosta.

Gli esperti di Zscaler hanno osservato nelle scorse due settimane più di 300 istanze dell’APK malevolo “kskas.apk” bloccate dalle loro soluzioni di sicurezza. Questa campagna di infezioni sta colpendo prevalentemente gli Stati Uniti, il Regno Unito e, in misura minore, la Francia.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non scaricare app da store non ufficiali o da siti non affidabili e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Malware multi-stadio per Android scoperto su Google Play

17 novembre 2017

I ricercatori di ESET hanno scoperto Android/TrojanDropper.Agent.BKY, un nuovo malware per i dispositivi mobili Android presente in otto app sullo store ufficiale di Google.Leggi tutto

Il malware per Android TOASTAMIGO sfrutta l’attacco Toast Overlay

10 novembre 2017

Gli esperti di sicurezza di Trend Micro hanno rilevato un nuovo malware per Android, battezzato TOASTAMIGO, in grado di sfruttare la tecnica d’attacco Toast Overlay.Leggi tutto

Campagna distribuzione malware tramite false bollette energetiche

26 ottobre 2017

Nelle ultime ore sono giunte a questo CERT diverse segnalazioni riguardo una campagna di distribuzione malware via Email ai danni di clienti di una nota azienda italiana del settore energetico.Leggi tutto