Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

dispositivi mobili  KevDroid  RAT  trojan   mercoledì, 4 aprile 2018

I ricercatori di sicurezza di Cisco Talos hanno scoperto due nuove varianti di un trojan per i dispositivi mobili Android, battezzato KevDroid, inizialmente distribuito

L’applicazione malevola era già stata individuata circa 15 giorni prima dalla società di sicurezza Sudcoreana

Il trojan

  • lista di applicazioni installate;
  • numero di telefono;
  • identificativo univoco del telefono;
  • posizione (tentando di attivare il GPS): questa informazione viene aggiornata ogni 10 secondi;
  • informazioni di contatto memorizzate (nomi, numeri di telefono, indirizzi Email, foto, ecc.);
  • SMS memorizzati;
  • registro delle chiamate;
  • Email memorizzate;
  • foto;
  • registrazioni audio delle chiamate.

Le informazioni catturate vengono inviate ad un unico server C&C il cui URL è codificato all’interno del codice del malware, mediante richieste HTTP POST.

L’archivio APK dell’app malevola è chiamato “Update” e mostra come icona il logo standard di Android (vedi immagine).

KevDroid

Fonte: Cisco Talos

La seconda variante di , scoperta a febbraio, ha dimensioni maggiori rispetto al primo esemplare, ha come nome “PU” e icona vuota. Questa variante ha le stesse funzionalità della precedente, con alcune caratteristiche aggiuntive:

  • registrazione video mediante la telecamera;
  • registrazione audio;
  • furto della cronologia di navigazione Web;
  • furto di file;
  • accesso al dispositivo come root sfruttando la vulnerabilità nota CVE-2015-3636.

I ricercatori hanno anche scoperto, ospitato sullo stesso server C&C di KevDroid, un altro RAT progettato per attaccare utenti Windows che utilizza la piattaforma PubNub per ricevere comandi sui sistemi compromessi. Questo malware è stato battezzato da Cisco Talos “PubNubRAT”.

Al momento, la capacità di individuazione di KevDroid da parte dei più diffusi antivirus risulta abbastanza elevata, sia per la variante 1, sia per la variante 2.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda come sempre agli utenti di dispositivi Android di non installare mai app scaricate da store non ufficiali o direttamente da pacchetti APK e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto