Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware LeakerLocker scoperto in due app su Google Play

dispositivi mobili  LeakerLocker  ransomware   lunedì, 10 luglio 2017

I ricercatori di sicurezza della divisione mobile di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Questa nuova minaccia, segnalata al CERT Nazionale dalla società Yoroi, non cifra i file sul dispositivo ma utilizza una tecnica di ricatto basata sulla minaccia della divulgazione di dati personali dell’utente a tutti i contatti Email e telefonici presenti sul dispositivo stesso.

Il malware è stato individuato all’interno di due app presenti su Google Play, chiamate rispettivamente “Wallpapers Blur HD” (una utility per la modifica degli sfondi) e “Booster & Cleaner Pro” (uno strumento per velocizzare il telefono). Entrambe queste app sono già state rimosse da Google. I ricercatori stimano che prima della sua cancellazione, la sola app “Wallpapers Blur HD” sia stata scaricata un numero di volte che va dalle 5.000 alle 10.000.

Stando a quanto riportato dagli esperti di McAfee, LeakerLocker non utilizza nessun exploit per bloccare il dispositivo della vittima, basandosi unicamente sulle autorizzazioni richieste in fase di installazione (accesso a chiamate, SMS, contatti, ecc.). Il malware è in grado di accedere alle informazioni sul dispositivo e ai dati dell’utente, tra cui indirizzo Email, contatti, cronologia del browser, messaggi testuali, dettagli delle chiamate effettuate.

In realtà il codice del malware non contiene funzionalità in grado di trasferire queste informazioni ad un server remoto, per cui sembrerebbe trattarsi di una minaccia a vuoto, volta unicamente a spaventare la vittima e ad indurla a pagare un modesto riscatto, pari a 50$. Ciò nonostante i ricercatori di McAfee ritengono che tale funzionalità possa essere aggiunta al malware dinamicamente, tramite lo scaricamento di un modulo dal server C&C.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Malware multi-stadio per Android scoperto su Google Play

17 novembre 2017

I ricercatori di ESET hanno scoperto Android/TrojanDropper.Agent.BKY, un nuovo malware per i dispositivi mobili Android presente in otto app sullo store ufficiale di Google.Leggi tutto

Nuova variante di Locky diffusa mediante documenti Office

13 novembre 2017

I ricercatori di Avira hanno scoperto una nuova variante del ransomware Locky distribuita mediante documenti Microsoft Word o Libre Office.Leggi tutto

Il malware per Android TOASTAMIGO sfrutta l’attacco Toast Overlay

10 novembre 2017

Gli esperti di sicurezza di Trend Micro hanno rilevato un nuovo malware per Android, battezzato TOASTAMIGO, in grado di sfruttare la tecnica d’attacco Toast Overlay.Leggi tutto