Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

App Android per il risparmio batteria nasconde adware e sottrae informazioni

adware  backdoor  dispositivi mobili   venerdì, 22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un’app malevola per i dispositivi mobili Android attualmente presente sullo store ufficiale di Google. L’app in questione, chiamata Advanced Battery Saver (nome pacchetto: com.advancedbatr.batsaver), si presenta come uno strumento per il risparmio energetico ed il controllo della batteria del telefono ma, oltre a svolgere la funzionalità per la quale appare essere progettata, nasconde anche un adware in grado di sottrarre informazioni dal dispositivo.

L’utente viene di solito rediretto sulla pagina di Google Play da cui scaricare quest’app da pagine Web truffaldine che mostrano un falso avviso che informa la vittima che il suo dispositivo si sta rallentando e che la batteria si sta consumando rapidamente (Figura 1). L’avviso invita l’utente a scaricare un’app “raccomandata” per ripulire la memoria del telefono e renderlo più veloce.

Avviso truffa Battery Saver

Figura 1 – Avviso truffa che invita a scaricare l’app malevola

Il testo dell’avviso viene mostrato nella lingua predefinita del browser e personalizzato con il nome del dispositivo dell’utente.

Se l’utente fa clic su uno qualsiasi dei pulsanti presentati, viene reindirizzato su un altro server controllato dagli autori del malware che a sua volta lo porta sulla pagina dello store di Google da cui scaricare l’app malevola (Figura 2).

Battery Saver su Google Play

Figura 2 – L’app malevola su Google Play

L’app in questione richiede diverse autorizzazioni, non direttamente correlate alla sua funzione primaria, che dovrebbero mettere in allarme un utente consapevole. Le più pericolose tra queste consentono all’app di:

  • leggere dati di log;
  • ricevere messaggi di testo (SMS)
  • ricevere dati da Internet;
  • accoppiarsi con dispositivi bluetooth;
  • accedere alla rete senza limitazioni;
  • modificare le impostazioni del sistema.

Come accennato in precedenza, l’app Advanced Battery Saver funziona in effetti come dichiarato dallo sviluppatore e tenta di aumentare la durata della batteria chiudendo i processi con un maggiore consumo di energia quando il livello della batteria è basso.

Sfortunatamente, l’app nasconde anche una funzionalità di adware, costituita da una backdoor finalizzata alla generazione di clic fraudolenti su annunci pubblicitari che generano profitto per l’autore del malware. Inoltre, la porzione malevola del codice dell’app è in grado di sottrarre informazioni dal dispositivo, tra cui il codice IMEI, i numeri di telefono memorizzati, il tipo, la marca e il modello dell’apparato, la posizione geografica.

Il malware comunica con un server C&C codificato al suo interno mediante HTTP. Il contenuto delle comunicazioni viene cifrato mediante l’algoritmo AES con una chiave predefinita. Il malware riceve dal server remoto le informazioni sugli annunci pubblicitari da caricare ed invia l’esito dell’operazione una volta completata l’azione di clic.

Il post originale di RiskIQ contiene un’analisi più dettagliata di questa minaccia, inclusi svariati indicatori di compromissione (IoC).

Al momento, l’app Advanced Battery Saver risulta ancora presente su Google Play ed è disponibile in forma di APK su svariati repository di terze parti

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

MassMiner: nuovo malware per il mining di criptovalute attacca server vulnerabili

4 maggio 2018

I ricercatori di Alien Vault hanno identificato una nuova famiglia di malware per il mining di criptovalute, battezzata MassMiner, che si diffonde come un worm sfruttando un gran numero di exploit per diversi sistemi e server.Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto