Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Malware multi-stadio per Android scoperto su Google Play

dispositivi mobili  trojan  TrojanDropper.Agent.BKY   venerdì, 17 novembre 2017

I ricercatori di ESET hanno scoperto un nuovo malware per i dispositivi mobili Android, identificato come Android/TrojanDropper.Agent.BKY, presente in otto diverse app sullo store ufficiale di Google. L’elenco completo di queste app è riportato in fondo all’articolo.

Le app infette non richiedono autorizzazioni particolari ed appaiono all’utente come perfettamente legittime. Per evitare di essere individuato, queste malware utilizza tecniche di offuscamento basate su cifratura ed un’architettura multi-stadio.

Una volta lanciata una di queste app infette, il codice malevolo al suo interno decifra ed esegue il primo stadio di payload. Questo a sua volta decifra ed esegue un secondo stadio, memorizzato tra le risorse dell’app scaricata da Google Play. Il payload di secondo stadio scarica un’altra app malevola da un URL codificato al suo interno (quest’app rappresenta il terzo stadio del malware). Queste azioni avvengono in maniera completamente invisibile all’utente e consentono al malware per passare inosservato.

Dopo un periodo di tempo predeterminato di circa cinque minuti, alla vittima viene richiesto di installare l’app di terzo stadio scaricata in forma di APK. Quest’app appare all’utente sotto forma di un noto software di larga diffusione, come Adobe Flash Player (vedi immagine) o un’altra app apparentemente legittima (ad esempio, “Android Update” o “Adobe Update”).

Falso Flash Player

Scopo unico di questo terzo stadio è quello di ingannare l’utente inducendolo a scaricare sul dispositivo il quarto ed ultimo stadio di infezione e a concedergli le autorizzazioni necessarie a svolgere le sue azioni malevole.

Gli esemplari di Android/TrojanDropper.Agent.BKY analizzati da ESET scaricano sul dispositivo della vittima diversi tipi di malware aggiuntivi, tra cui una versione del noto trojan Mazar BOT, un trojan bancario o uno spyware.

ESET ha già informato Google della presenza di queste applicazioni malevole e la società ha già provveduto a rimuoverle dallo store.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da Android/TrojanDropper.Agent.BKY (fonte: ESET)
Nome app Nome pacchetto Data
MEX Tools com.fleeeishei.erabladmounsem 16/10/2017
Cleaner for Android com.softmuiiurket.cleanerforandroid 03/10/2017
Clear Android com.expjhvjhertsoft.bestrambooster 29/09/2017
Слоты Онлайн Клуб Игровые Автоматы gotov.games.toppro 07/10/2017
Игровые Автоматы Слоты Онлайн slots.forgame.vul 06/10/2017
World News com.bucholregaum.hampelpa 09/10/2017
WORLD NEWS com.peridesuramant.worldnews 19/10/2017
World News PRO com.peridesurrramant.worldnews 20/10/201

Notizie correlate

Scoperti numerosi giochi su Google Play infetti da un trojan

25 gennaio 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto su Google Play numerosi giochi per Android contenenti il trojan Android.RemoteCode.127.origin.Leggi tutto

Variante di Dridex distribuita mediante siti FTP compromessi

19 gennaio 2018

Gli esperti di Forcepoint hanno osservato una nuova campagna di distribuzione di del noto trojan bancario Dridex che sfrutta server FTP compromessi.Leggi tutto

Vulnerabilità di Microsoft Office sfruttate per diffondere il malware Zyklon HTTP

18 gennaio 2018

I ricercatori di FireEye hanno osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email con allegati Microsoft Office malevoli.Leggi tutto