Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Malware multi-stadio per Android scoperto su Google Play

dispositivi mobili  trojan  TrojanDropper.Agent.BKY   venerdì, 17 novembre 2017

I ricercatori di ESET hanno scoperto un nuovo malware per i dispositivi mobili Android, identificato come Android/TrojanDropper.Agent.BKY, presente in otto diverse app sullo store ufficiale di Google. L’elenco completo di queste app è riportato in fondo all’articolo.

Le app infette non richiedono autorizzazioni particolari ed appaiono all’utente come perfettamente legittime. Per evitare di essere individuato, queste malware utilizza tecniche di offuscamento basate su cifratura ed un’architettura multi-stadio.

Una volta lanciata una di queste app infette, il codice malevolo al suo interno decifra ed esegue il primo stadio di payload. Questo a sua volta decifra ed esegue un secondo stadio, memorizzato tra le risorse dell’app scaricata da Google Play. Il payload di secondo stadio scarica un’altra app malevola da un URL codificato al suo interno (quest’app rappresenta il terzo stadio del malware). Queste azioni avvengono in maniera completamente invisibile all’utente e consentono al malware per passare inosservato.

Dopo un periodo di tempo predeterminato di circa cinque minuti, alla vittima viene richiesto di installare l’app di terzo stadio scaricata in forma di APK. Quest’app appare all’utente sotto forma di un noto software di larga diffusione, come Adobe Flash Player (vedi immagine) o un’altra app apparentemente legittima (ad esempio, “Android Update” o “Adobe Update”).

Falso Flash Player

Scopo unico di questo terzo stadio è quello di ingannare l’utente inducendolo a scaricare sul dispositivo il quarto ed ultimo stadio di infezione e a concedergli le autorizzazioni necessarie a svolgere le sue azioni malevole.

Gli esemplari di Android/TrojanDropper.Agent.BKY analizzati da ESET scaricano sul dispositivo della vittima diversi tipi di malware aggiuntivi, tra cui una versione del noto trojan Mazar BOT, un trojan bancario o uno spyware.

ESET ha già informato Google della presenza di queste applicazioni malevole e la società ha già provveduto a rimuoverle dallo store.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da Android/TrojanDropper.Agent.BKY (fonte: ESET)
Nome app Nome pacchetto Data
MEX Tools com.fleeeishei.erabladmounsem 16/10/2017
Cleaner for Android com.softmuiiurket.cleanerforandroid 03/10/2017
Clear Android com.expjhvjhertsoft.bestrambooster 29/09/2017
Слоты Онлайн Клуб Игровые Автоматы gotov.games.toppro 07/10/2017
Игровые Автоматы Слоты Онлайн slots.forgame.vul 06/10/2017
World News com.bucholregaum.hampelpa 09/10/2017
WORLD NEWS com.peridesuramant.worldnews 19/10/2017
World News PRO com.peridesurrramant.worldnews 20/10/201

Notizie correlate

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto