Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware LeakerLocker scoperto in due app su Google Play

dispositivi mobili  LeakerLocker  ransomware   lunedì, 10 luglio 2017

I ricercatori di sicurezza della divisione mobile di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Questa nuova minaccia, segnalata al CERT Nazionale dalla società Yoroi, non cifra i file sul dispositivo ma utilizza una tecnica di ricatto basata sulla minaccia della divulgazione di dati personali dell’utente a tutti i contatti Email e telefonici presenti sul dispositivo stesso.

Il malware è stato individuato all’interno di due app presenti su Google Play, chiamate rispettivamente “Wallpapers Blur HD” (una utility per la modifica degli sfondi) e “Booster & Cleaner Pro” (uno strumento per velocizzare il telefono). Entrambe queste app sono già state rimosse da Google. I ricercatori stimano che prima della sua cancellazione, la sola app “Wallpapers Blur HD” sia stata scaricata un numero di volte che va dalle 5.000 alle 10.000.

Stando a quanto riportato dagli esperti di McAfee, LeakerLocker non utilizza nessun exploit per bloccare il dispositivo della vittima, basandosi unicamente sulle autorizzazioni richieste in fase di installazione (accesso a chiamate, SMS, contatti, ecc.). Il malware è in grado di accedere alle informazioni sul dispositivo e ai dati dell’utente, tra cui indirizzo Email, contatti, cronologia del browser, messaggi testuali, dettagli delle chiamate effettuate.

In realtà il codice del malware non contiene funzionalità in grado di trasferire queste informazioni ad un server remoto, per cui sembrerebbe trattarsi di una minaccia a vuoto, volta unicamente a spaventare la vittima e ad indurla a pagare un modesto riscatto, pari a 50$. Ciò nonostante i ricercatori di McAfee ritengono che tale funzionalità possa essere aggiunta al malware dinamicamente, tramite lo scaricamento di un modulo dal server C&C.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperta nuova variante del ransomware GandCrab

24 aprile 2018

È stata recentemente individuata in-the-wild una nuova variante del noto ransomware GandCrab diffusa principalmente mediante Email malevole. Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto