Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il ransomware LeakerLocker scoperto in due app su Google Play

dispositivi mobili  LeakerLocker  ransomware   lunedì, 10 luglio 2017

I ricercatori di sicurezza della divisione mobile di McAfee hanno scoperto un nuovo tipo di ransomware, battezzato LeakerLocker, che colpisce i dispositivi mobili equipaggiati con il sistema operativo Android.

Questa nuova minaccia, segnalata al CERT Nazionale dalla società Yoroi, non cifra i file sul dispositivo ma utilizza una tecnica di ricatto basata sulla minaccia della divulgazione di dati personali dell’utente a tutti i contatti Email e telefonici presenti sul dispositivo stesso.

Il malware è stato individuato all’interno di due app presenti su Google Play, chiamate rispettivamente “Wallpapers Blur HD” (una utility per la modifica degli sfondi) e “Booster & Cleaner Pro” (uno strumento per velocizzare il telefono). Entrambe queste app sono già state rimosse da Google. I ricercatori stimano che prima della sua cancellazione, la sola app “Wallpapers Blur HD” sia stata scaricata un numero di volte che va dalle 5.000 alle 10.000.

Stando a quanto riportato dagli esperti di McAfee, LeakerLocker non utilizza nessun exploit per bloccare il dispositivo della vittima, basandosi unicamente sulle autorizzazioni richieste in fase di installazione (accesso a chiamate, SMS, contatti, ecc.). Il malware è in grado di accedere alle informazioni sul dispositivo e ai dati dell’utente, tra cui indirizzo Email, contatti, cronologia del browser, messaggi testuali, dettagli delle chiamate effettuate.

In realtà il codice del malware non contiene funzionalità in grado di trasferire queste informazioni ad un server remoto, per cui sembrerebbe trattarsi di una minaccia a vuoto, volta unicamente a spaventare la vittima e ad indurla a pagare un modesto riscatto, pari a 50$. Ciò nonostante i ricercatori di McAfee ritengono che tale funzionalità possa essere aggiunta al malware dinamicamente, tramite lo scaricamento di un modulo dal server C&C.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di evitare assolutamente di scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Si consiglia inoltre di prendere visione della Linea Guida del CERT Nazionale “Ransomware: rischi e azioni di prevenzione”.

Notizie correlate

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto

Scoperta soluzione per immunizzare il PC dalla nuova variante di Petya

28 giugno 2017

Un ricercatore indipendente ha scoperto un metodo per impedire che un computer Windows venga infettato dalla nuova variante del ransomware Petya, nota anche come PetrWrap o (not)Petya.Leggi tutto

In corso massiccia campagna di diffusione del ransomware Petya

27 giugno 2017

È attualmente in corso una massiccia campagna di diffusione di una variante del ransomware Petya che si sta diffondendo rapidamente sulla rete sfruttando l'exploit EternalBlue.Leggi tutto