Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware per Android TOASTAMIGO sfrutta l’attacco Toast Overlay

dispositivi mobili  Toast Overlay  TOASTAMIGO   venerdì, 10 novembre 2017

Gli esperti di sicurezza di Trend Micro hanno recentemente rilevato un nuovo malware per dispositivi mobili Android, battezzato TOASTAMIGO, che è in grado di sfruttare la tecnica d’attacco Toast Overlay basata su una nota vulnerabilità (CVE-2017-0752) della funzionalità Toast di Android, utilizzata per mostrare notifiche sopra altre applicazioni.

La falla di Toast affligge tutte le versioni di Android precedenti la 8.0 (Oreo). In uno scenario tipico di attacco Toast Overlay, un’app malevola inganna l’utente inducendolo a fare clic su un messaggio o su un pulsante specificato dall’attaccante, sovrimpresso a quello legittimamente mostrato dall’app sottostante.

TOASTAMIGO si nasconde in una serie di applicazioni apparentemente legittime presenti su Google Play che consentono di bloccare le altre app installate sul dispositivo mediante codici PIN di sicurezza (vedi Figura 1). Una di queste app è stata scaricata più di 500.000 volte.

App TOASTAMIGO

Figura 1 – App su Google Play contenenti il malware TOASTAMIGO (fonte: Trend Micro)

La catena di infezione ha inizio con la richiesta alla vittima delle autorizzazioni necessarie ad accedere alle funzionalità per l’accessibilità. Una volta ottenuti i permessi richiesti, l’app malevola apre una finestra che mostra lo stato di avanzamento dell’analisi delle app installate (vedi Figura 2).

Schermate TOASTAMIGO

Figura 2 – Schermate del malware TOASTAMIGO (fonte: Trend Micro)

Durante questa fase, TOASTAMIGO effettua le seguenti azioni malevole, che includono anche l’installazione di un secondo malware sul dispositivo:

  • scarica sul dispositivo uno specifico APK;
  • tenta di forzare il blocco delle app di sicurezza installate;
  • predispone le azioni per gli avvisi del tipo “Sorgenti sconosciute”;
  • installa un APK mediante le funzioni di accessibilità;
  • ottiene i permessi di accessibilità per il secondo APK;
  • impedisce la propria rimozione dal dispositivo;
  • mantiene i propri permessi di accessibilità.

L’applicazione scaricata ed installata mediante le funzioni di accessibilità contiene un secondo componente malevolo che integra funzioni di ad-clicking, battezzato AMIGOCLICKER, che, oltre ad avere diverse funzionalità in comune con TOASTAMIGO, è in grado di:

  • ottenere i privilegi di amministratore del dispositivo;
  • disinstallare pacchetti specifici;
  • simulare clic su pulsati in finestre di dialogo di sistema;
  • ottenere informazioni sull’account Google della vittima;
  • fare clic su annunci pubblicitari su Facebook;
  • effettuare ricerche in Google Play;
  • assegnarsi una valutazione a 5 stelle su Google Play.

Trend Micro ha informato tempestivamente Google della presenza di queste applicazioni malevole e la società ha già provveduto a rimuoverle dallo store. L’elenco completo di queste app è riportato in fondo all’articolo.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da TOASTAMIGO (si veda il post originale di Trend Micro per maggiori dettagli, inclusi svariati IoC):

  • Smart AppLocker (com.agomi.applocker)
  • MBoost (com.migo.booster)
  • Smart AppLocker (com.googog.app)
  • Smart AppLocker (com.gomigp.applocker)
  • Migo AppLocker (com.luna.applocker.gp)
  • Migo Locker (com.migo.screenlocker)

Notizie correlate

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto