Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

dispositivi mobili  KevDroid  RAT  trojan   mercoledì, 4 aprile 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto due nuove varianti di un trojan per i dispositivi mobili Android, battezzato KevDroid, inizialmente distribuito

L’applicazione malevola era già stata individuata circa 15 giorni prima dalla società di sicurezza Sudcoreana

Il trojan

  • lista di applicazioni installate;
  • numero di telefono;
  • identificativo univoco del telefono;
  • posizione (tentando di attivare il GPS): questa informazione viene aggiornata ogni 10 secondi;
  • informazioni di contatto memorizzate (nomi, numeri di telefono, indirizzi Email, foto, ecc.);
  • SMS memorizzati;
  • registro delle chiamate;
  • Email memorizzate;
  • foto;
  • registrazioni audio delle chiamate.

Le informazioni catturate vengono inviate ad un unico server C&C il cui URL è codificato all’interno del codice del malware, mediante richieste HTTP POST.

L’archivio APK dell’app malevola è chiamato “Update” e mostra come icona il logo standard di Android (vedi immagine).

KevDroid

Fonte: Cisco Talos

La seconda variante di , scoperta a febbraio, ha dimensioni maggiori rispetto al primo esemplare, ha come nome “PU” e icona vuota. Questa variante ha le stesse funzionalità della precedente, con alcune caratteristiche aggiuntive:

  • registrazione video mediante la telecamera;
  • registrazione audio;
  • furto della cronologia di navigazione Web;
  • furto di file;
  • accesso al dispositivo come root sfruttando la vulnerabilità nota CVE-2015-3636.

I ricercatori hanno anche scoperto, ospitato sullo stesso server C&C di KevDroid, un altro RAT progettato per attaccare utenti Windows che utilizza la piattaforma PubNub per ricevere comandi sui sistemi compromessi. Questo malware è stato battezzato da Cisco Talos “PubNubRAT”.

Al momento, la capacità di individuazione di KevDroid da parte dei più diffusi antivirus risulta abbastanza elevata, sia per la variante 1, sia per la variante 2.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non installare mai app scaricate da store non ufficiali o direttamente da pacchetti APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto

RottenSys: scoperto malware preinstallato in 5 milioni di dispositivi Android

16 marzo 2018

I ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di malware per sistemi Android, battezzata RottenSys, che avrebbe già infettato circa 5 milioni di dispositivi mobili.Leggi tutto

Più di 40 modelli di dispositivi Android economici infetti dal trojan Triada

5 marzo 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto la presenza del trojan Triada in più di 40 modelli di smartphone Android economici di produzione cinese.Leggi tutto