Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware LeakerLocker scoperto in due app su Google Play

dispositivi mobili  LeakerLocker  ransomware   lunedì, 10 luglio 2017

I ricercatori di sicurezza della divisione mobile di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Questa nuova minaccia, segnalata al CERT Nazionale dalla società Yoroi, non cifra i file sul dispositivo ma utilizza una tecnica di ricatto basata sulla minaccia della divulgazione di dati personali dell’utente a tutti i contatti Email e telefonici presenti sul dispositivo stesso.

Il malware è stato individuato all’interno di due app presenti su Google Play, chiamate rispettivamente “Wallpapers Blur HD” (una utility per la modifica degli sfondi) e “Booster & Cleaner Pro” (uno strumento per velocizzare il telefono). Entrambe queste app sono già state rimosse da Google. I ricercatori stimano che prima della sua cancellazione, la sola app “Wallpapers Blur HD” sia stata scaricata un numero di volte che va dalle 5.000 alle 10.000.

Stando a quanto riportato dagli esperti di McAfee, LeakerLocker non utilizza nessun exploit per bloccare il dispositivo della vittima, basandosi unicamente sulle autorizzazioni richieste in fase di installazione (accesso a chiamate, SMS, contatti, ecc.). Il malware è in grado di accedere alle informazioni sul dispositivo e ai dati dell’utente, tra cui indirizzo Email, contatti, cronologia del browser, messaggi testuali, dettagli delle chiamate effettuate.

In realtà il codice del malware non contiene funzionalità in grado di trasferire queste informazioni ad un server remoto, per cui sembrerebbe trattarsi di una minaccia a vuoto, volta unicamente a spaventare la vittima e ad indurla a pagare un modesto riscatto, pari a 50$. Ciò nonostante i ricercatori di McAfee ritengono che tale funzionalità possa essere aggiunta al malware dinamicamente, tramite lo scaricamento di un modulo dal server C&C.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Più di 100 app infette dal malware ExpensiveWall rimosse da Google Play

19 settembre 2017

I ricercatori di sicurezza di Check Point hanno scoperto ExpensiveWall, un nuovo malware per Android che invia SMS fraudolenti a valore aggiunto e iscrive l'utente a servizi a pagamento.Leggi tutto

“BlueBorne”: vulnerabilità multiple in implementazioni Bluetooth

14 settembre 2017

È stata resa nota l'esistenza di una serie di vulnerabilità, indicate collettivamente col nome BlueBorne, che affliggono diverse implementazioni del protocollo Bluetooth.Leggi tutto

Il ransomware SynAck colpisce aziende anche in Europa

8 settembre 2017

Esperti di sicurezza hanno rilevato un notevole incremento nelle attività di una nuova variante di ransomware denominata SynAck.Leggi tutto