Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Malware multi-stadio per Android scoperto su Google Play

dispositivi mobili  trojan  TrojanDropper.Agent.BKY   venerdì, 17 novembre 2017

I ricercatori di ESET hanno scoperto un nuovo malware per i dispositivi mobili Android, identificato come Android/TrojanDropper.Agent.BKY, presente in otto diverse app sullo store ufficiale di Google. L’elenco completo di queste app è riportato in fondo all’articolo.

Le app infette non richiedono autorizzazioni particolari ed appaiono all’utente come perfettamente legittime. Per evitare di essere individuato, queste malware utilizza tecniche di offuscamento basate su cifratura ed un’architettura multi-stadio.

Una volta lanciata una di queste app infette, il codice malevolo al suo interno decifra ed esegue il primo stadio di payload. Questo a sua volta decifra ed esegue un secondo stadio, memorizzato tra le risorse dell’app scaricata da Google Play. Il payload di secondo stadio scarica un’altra app malevola da un URL codificato al suo interno (quest’app rappresenta il terzo stadio del malware). Queste azioni avvengono in maniera completamente invisibile all’utente e consentono al malware per passare inosservato.

Dopo un periodo di tempo predeterminato di circa cinque minuti, alla vittima viene richiesto di installare l’app di terzo stadio scaricata in forma di APK. Quest’app appare all’utente sotto forma di un noto software di larga diffusione, come Adobe Flash Player (vedi immagine) o un’altra app apparentemente legittima (ad esempio, “Android Update” o “Adobe Update”).

Falso Flash Player

Scopo unico di questo terzo stadio è quello di ingannare l’utente inducendolo a scaricare sul dispositivo il quarto ed ultimo stadio di infezione e a concedergli le autorizzazioni necessarie a svolgere le sue azioni malevole.

Gli esemplari di Android/TrojanDropper.Agent.BKY analizzati da ESET scaricano sul dispositivo della vittima diversi tipi di malware aggiuntivi, tra cui una versione del noto trojan Mazar BOT, un trojan bancario o uno spyware.

ESET ha già informato Google della presenza di queste applicazioni malevole e la società ha già provveduto a rimuoverle dallo store.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette da Android/TrojanDropper.Agent.BKY (fonte: ESET)
Nome app Nome pacchetto Data
MEX Tools com.fleeeishei.erabladmounsem 16/10/2017
Cleaner for Android com.softmuiiurket.cleanerforandroid 03/10/2017
Clear Android com.expjhvjhertsoft.bestrambooster 29/09/2017
Слоты Онлайн Клуб Игровые Автоматы gotov.games.toppro 07/10/2017
Игровые Автоматы Слоты Онлайн slots.forgame.vul 06/10/2017
World News com.bucholregaum.hampelpa 09/10/2017
WORLD NEWS com.peridesuramant.worldnews 19/10/2017
World News PRO com.peridesurrramant.worldnews 20/10/201

Notizie correlate

Il trojan Grobios diffuso tramite exploit kit

16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività dell'exploit kit RIG, utilizzato in-the-wild per diffondere il trojan Grobios.Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

4 aprile 2018

I ricercatori di Cisco Talos hanno scoperto due nuove varianti di KevDroid, un trojan per Android inizialmente distribuito in-the-wild mascherato da falsa applicazione antivirus.Leggi tutto