Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

dispositivi mobili  KevDroid  RAT  trojan   mercoledì, 4 aprile 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto due nuove varianti di un trojan per i dispositivi mobili Android, battezzato KevDroid, inizialmente distribuito

L’applicazione malevola era già stata individuata circa 15 giorni prima dalla società di sicurezza Sudcoreana

Il trojan

  • lista di applicazioni installate;
  • numero di telefono;
  • identificativo univoco del telefono;
  • posizione (tentando di attivare il GPS): questa informazione viene aggiornata ogni 10 secondi;
  • informazioni di contatto memorizzate (nomi, numeri di telefono, indirizzi Email, foto, ecc.);
  • SMS memorizzati;
  • registro delle chiamate;
  • Email memorizzate;
  • foto;
  • registrazioni audio delle chiamate.

Le informazioni catturate vengono inviate ad un unico server C&C il cui URL è codificato all’interno del codice del malware, mediante richieste HTTP POST.

L’archivio APK dell’app malevola è chiamato “Update” e mostra come icona il logo standard di Android (vedi immagine).

KevDroid

Fonte: Cisco Talos

La seconda variante di , scoperta a febbraio, ha dimensioni maggiori rispetto al primo esemplare, ha come nome “PU” e icona vuota. Questa variante ha le stesse funzionalità della precedente, con alcune caratteristiche aggiuntive:

  • registrazione video mediante la telecamera;
  • registrazione audio;
  • furto della cronologia di navigazione Web;
  • furto di file;
  • accesso al dispositivo come root sfruttando la vulnerabilità nota CVE-2015-3636.

I ricercatori hanno anche scoperto, ospitato sullo stesso server C&C di KevDroid, un altro RAT progettato per attaccare utenti Windows che utilizza la piattaforma PubNub per ricevere comandi sui sistemi compromessi. Questo malware è stato battezzato da Cisco Talos “PubNubRAT”.

Al momento, la capacità di individuazione di KevDroid da parte dei più diffusi antivirus risulta abbastanza elevata, sia per la variante 1, sia per la variante 2.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non installare mai app scaricate da store non ufficiali o direttamente da pacchetti APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Il trojan bancario BackSwap impiega tecniche innovative per attaccare i browser delle vittime

28 maggio 2018

I ricercatori di ESET hanno scoperto BackSwap, una nuova famiglia di trojan bancari che impiega tecniche innovative per aggirare le protezioni dei browser e rubare soldi dai conti correnti delle vittime.Leggi tutto