Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware per Android TOASTAMIGO sfrutta l’attacco Toast Overlay

dispositivi mobili  Toast Overlay  TOASTAMIGO   venerdì, 10 novembre 2017

Gli esperti di sicurezza di Trend Micro hanno recentemente rilevato un nuovo malware per dispositivi mobili Android, battezzato TOASTAMIGO, che è in grado di sfruttare la tecnica d’attacco Toast Overlay basata su una nota vulnerabilità (CVE-2017-0752) della funzionalità Toast di Android, utilizzata per mostrare notifiche sopra altre applicazioni.

La falla di Toast affligge tutte le versioni di Android precedenti la 8.0 (Oreo). In uno scenario tipico di attacco Toast Overlay, un’app malevola inganna l’utente inducendolo a fare clic su un messaggio o su un pulsante specificato dall’attaccante, sovrimpresso a quello legittimamente mostrato dall’app sottostante.

TOASTAMIGO si nasconde in una serie di applicazioni apparentemente legittime presenti su Google Play che consentono di bloccare le altre app installate sul dispositivo mediante codici PIN di sicurezza (vedi Figura 1). Una di queste app è stata scaricata più di 500.000 volte.

App TOASTAMIGO

Figura 1 – App su Google Play contenenti il malware TOASTAMIGO (fonte: Trend Micro)

La catena di infezione ha inizio con la richiesta alla vittima delle autorizzazioni necessarie ad accedere alle funzionalità per l’accessibilità. Una volta ottenuti i permessi richiesti, l’app malevola apre una finestra che mostra lo stato di avanzamento dell’analisi delle app installate (vedi Figura 2).

Schermate TOASTAMIGO

Figura 2 – Schermate del malware TOASTAMIGO (fonte: Trend Micro)

Durante questa fase, TOASTAMIGO effettua le seguenti azioni malevole, che includono anche l’installazione di un secondo malware sul dispositivo:

  • scarica sul dispositivo uno specifico APK;
  • tenta di forzare il blocco delle app di sicurezza installate;
  • predispone le azioni per gli avvisi del tipo “Sorgenti sconosciute”;
  • installa un APK mediante le funzioni di accessibilità;
  • ottiene i permessi di accessibilità per il secondo APK;
  • impedisce la propria rimozione dal dispositivo;
  • mantiene i propri permessi di accessibilità.

L’applicazione scaricata ed installata mediante le funzioni di accessibilità contiene un secondo componente malevolo che integra funzioni di ad-clicking, battezzato AMIGOCLICKER, che, oltre ad avere diverse funzionalità in comune con TOASTAMIGO, è in grado di:

  • ottenere i privilegi di amministratore del dispositivo;
  • disinstallare pacchetti specifici;
  • simulare clic su pulsati in finestre di dialogo di sistema;
  • ottenere informazioni sull’account Google della vittima;
  • fare clic su annunci pubblicitari su Facebook;
  • effettuare ricerche in Google Play;
  • assegnarsi una valutazione a 5 stelle su Google Play.

Trend Micro ha informato tempestivamente Google della presenza di queste applicazioni malevole e la società ha già provveduto a rimuoverle dallo store. L’elenco completo di queste app è riportato in fondo all’articolo.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da TOASTAMIGO (si veda il post originale di Trend Micro per maggiori dettagli, inclusi svariati IoC):

  • Smart AppLocker (com.agomi.applocker)
  • MBoost (com.migo.booster)
  • Smart AppLocker (com.googog.app)
  • Smart AppLocker (com.gomigp.applocker)
  • Migo AppLocker (com.luna.applocker.gp)
  • Migo Locker (com.migo.screenlocker)

Notizie correlate

Malware multi-stadio per Android scoperto su Google Play

17 novembre 2017

I ricercatori di ESET hanno scoperto Android/TrojanDropper.Agent.BKY, un nuovo malware per i dispositivi mobili Android presente in otto app sullo store ufficiale di Google.Leggi tutto

LokiBot: il primo trojan bancario per Android con capacità di ransomware

24 ottobre 2017

I ricercatori della società di sicurezza olandese SfyLabs hanno scoperto LokiBot, un nuovo trojan bancario per Android con funzionalità di ransomware.Leggi tutto

DoubleLocker: nuovo ransomware per Android cifra i dati e blocca il dispositivo

16 ottobre 2017

I ricercatori di ESET hanno individuato DoubleLocker, un nuovo esemplare di ransomware per Android che cifra i file e modifica il PIN di sblocco del dispositivo. Leggi tutto