Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Scoperte numerose app su Google Play infette da malware per Windows

dispositivi mobili  keylogger   mercoledì, 1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app per dispositivi mobili Android contenenti codice malevolo in forma di eseguibili per Microsoft Windows.

La maggior parte delle app infette sono state rilasciate tra ottobre e novembre del 2017, il che significa che queste app sono rimaste su Google Play per più di sette mesi senza essere riconosciute come malevole. Alcune di queste app infette contano più di 1.000 download ed hanno anche valutazioni a 4 stelle. Gli scopritori hanno informato tempestivamente Google della presenza di queste applicazioni malevole che sono state prontamente rimosse dallo store ufficiale. Un elenco parziale di queste app è riportato in fondo all’articolo.

App infetta

Esempio di app infetta scoperta su Google Play (fonte: Palo Alto Networks)

Il fatto che gli APK di queste app siano infetti indica che gli sviluppatori hanno creato il loro software su sistemi Windows compromessi che sono stati a loro volta infettati da malware. Si suppone che gli sviluppatori possano essere stati coinvolti inconsapevolmente in attacchi mirati proprio a compromettere la linea di produzione del software, come già accaduto diverse volte in passato, ad esempio nei casi di KeRanger, XcodeGhost e (not)Petya.

In alcuni dei casi analizzati, uno stesso file APK conteneva più di un file eseguibile PE malevolo inserito nel codice in posizioni diverse, con nomi diversi apparentemente non sospetti (ad esempio, “Android.exe”, “my music.exe”, “COPY_DOKKEP.exe”, “js.exe”, “gallery.exe”, “images.exe”, “msn.exe” e “css.exe”)­. I ricercatori hanno identificato in particolare due file PE incorporati in tutte le app infette, uno dei quali con funzione di keylogger.

In generale gli eseguibili individuati dai ricercatori effettuano le seguenti azioni malevole se lanciati su macchine Windows:

  • creano file eseguibili e file nascosti in svariate cartelle di sistema, incluse copie del malware stesso;
  • modificano il Registro di Sistema di Windows per essere eseguiti automaticamente al riavvio;
  • restano inattivi per un lungo periodo di tempo;
  • tentano di connettersi ad uno specifico indirizzo IP sulla porta 8829.

Si sottolinea come le app infette non costituiscano una minaccia per i dispositivi Android in quanto il codice malevolo in esse incorporato può essere eseguito solamente sui sistemi Windows. Tuttavia, queste app potrebbero rappresentare una minaccia concreta qualora gli APK infetti venissero scaricati e scompattati su un PC Windows e gli eseguibili PE inavvertitamente lanciati, oppure se lo stesso sviluppatore utilizzasse la macchina infetta per produrre anche applicazioni Windows.

Il post originale sul blog Unit 42 di Palo Alto Networks contiene un’analisi più dettagliata di queste app infette, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app dagli store non ufficiali, di verificare attentamente la reputazione di un’app di dubbia origine presente su Google Play e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Elenco delle app infette scoperte su Google Play (fonte: Palo Alto Networks)
Nome app Nome pacchetto Hash (SHA-256)
Baby Room com.KamarBaYi.odieapps 1896ed8d12f5a7c3046acd929e64cc97e8acb020e40c1b3a2001b30003f50883
Motor Trail com.MotorTraiL.odieapps 290b7f930361d06e8f8c93aa9f97405d6b4b9fef7f9ac13c3c73c8966cf0e83a
Tattoo Name com.TatToNaMa.odieapps b2fec79084611ad8abed3354399b2e759e903ec15976b9d10ac05e548964a1e9
Car garage coml.GaRaSiMobiL.odieapps b828b870a317693a0ae0544b9d0ffddcf6442da4d1979f6f8ccafcbe5c96d1e3
Japanese Garden com.TaMaNJapanG.odieapps 86661a4a611484f8db2593bfae241db9b53274a1736ec668335f878ed24795e4
Koi fish com.IkanKoI.odieapps 79e77835c9690ca0bc6d376659dd15f50e396bbc573fcc7293d458d8002f6a60
House Terrace com.TeRaSRumaH.odieapps 91bb8594e118338f38de22e96e89cc5e11d619da3ec3dc0ecada13720111a588
Skirt Design com.DesainRokK.odieapps c41a8edaa85344e48a75843447358ea7a092fe1061bca79ac535abf467112eda
Yoga Meditation com.MeditasiYoga.odieapps 52d9df500ae7684d58c2bf65fb6852da1440e79b07a049f72585ccf8665e9d64
Shoe rack com.RaKSepatU.odieapps 21fce35139cfdf1145855987b6e3306adf26c3b60ba59b1c364a3d7d44bc5285
Unique T-shirt com.KaoSUniK.odieapps 4739a7d1317fee0a7a885a00468d9749bb7da5c5f1696408deaa736fa2aab6e9
Mens Shoes com.SepatuPriA.odieapps bc49cec1896f7f4542ff8712da8475bf5e55abe7558918c260492467eb03ef6f
TV RuanG TaMu com.TVRuanGTaMu.odieapps 7345975ca29d16e3b55309e84f6249990878482ed55e597269fdd0cb77a290ff
Idea Glasses com.IdeaKacamata.odieapps ecb04d5359949bfbbc64fd7bedd8fde3a5b9703784fea8d758a3a643117165b0
Fashion Muslim com.FashioNMusLiM.odieapps a21f4e9536dcbcd810fbfcdff8f6cce5b6338f1d5df7ba45abd1a5f4ed8dca76
Bracelet com.GelangTut.odieapps 41386181f9e7dc8085d6a117607cd79346744d925e5d2ca67759742fbac47e51
Clothing Drawing com.BusanaMenggambar.odieapps fceda65ea8624af018c072c60ed5fcb8b6bb00832fb63559e819463d2ba9db4e
Minimalist Kitchen com.DapuRMiniMaLis.odieapps c5b24cf5d348a6fe3ad543f70379c7d9fa60a8e9bac03d6ea387fcdbcbbca932
Nail Art com.SeNiKuKu.odieapps c36e7566e2e92898162006b9922d9d8f450867224b67d2346f70d7e76b1cbae6
Ice cream stick com.StikEzKriM.odieapps 0039f9b2faac6146bddc2831fdfa6a03327f77d3954a1a27ab66e6b0b5952a3a
Roof com.AtapRumaH.odieapps a8687cb35ee453958dc1757608505f3c5a7f137909f517acb7a850316d0e87b4
Children Clothes com.BusanaAnaK.odieapps 7da49a0122444b2087a582d142c82375541544fd765f29b9b3f7728e598b54e0
Home Ceiling com.PlaFoNRumaH.odieapps 7312c5ba59f89350b13fe93107233a06c79a68eedff0eb082ef7a5f24bec76e2
PoLa BaJu com.PoLaBaJU.odieapps bf00efc96cf3ecdd3069afbbfae53aeb79910848721fe50d64410760790f1a27
Living room com.RuanGTaMu.odieapps 892f883d3588ee952888cccb4bb9bb33092f1be924d981e69595a758daca8c86
Bookshelf com.RakBuKu.odieapps 5a1693d255e5f487214fd1cd46c0cff8d5375903459c7f87ae17f636fa470e32
Knitted Baby com.RajutanBayI.odieapps 906cd586d8f7388c1fbb0581b926aa4b2dc5534d460cc3ba011198d26a1dfe16
Hair Paint com.CaTRambuT.odieapps 96bd87c8bd8772b1f11b3e4771889b4d2d81739cd2ef7494a3ff54fc28e711f6
Wall Decoration com.DekoraSiDinding.odieapps 54380fa8c12f6333a22fd0c728e615e92470565e96c7b39ae2f1d7e30584fc31
Painting Mahendi com.MelukisMehndi.odieapps b6671808dbc226c11697c54d000b6a30213478c141d96aa4c3d52fa5243cff16
Bodybuilder com.Binaragawan.odieapps 525c515e3e8c0d6007ab79f05a64c42951b440db4ab12f397218efa9692faa84
Couple shirts com.KaosCouple.odieapps 399058e95153600a471d94309a6c3e87f3851647fb003f6d4289fa5b5df389a4
Unique Graffiti com.GrafitiUniK.odieapps 44066a23057ee93bed27737e8f444150c29c68b14bc9b21419f549188e436103
Paper flower com.BungaKerTas.odieapps 1fcd61a10c170d259fca12e52d1930018adafad5613551b5bbb14987de1c7cfd
Night gown com.BaJuTiDuR.odieapps 0b85488788f7f83e879f41591d674b50d4daafb60094918391d98f143ba54ddc
Wardrobe Ideas com.IdeLeMaRi.odieapps cb11dd259fa4fc0c1b4ee878cfb3c2df2a0a6ecab83276e33185ba7ce45c46ba
Dining table com.MejaMakaN.odieapps 4091c8acea954fffd22be4c0675c440cf1fe4620d6659b8d23d8d3a2fc815e20
Gymnastics com.LatiHaNSeNaM.odieapps 9412ca41b7c9aebaeef05fe5c45bf5c5d998e5da44d5a7a495f5ba06c00feea0
Use Child com.PakaiAnAnak.odieapps 761032267b9659cd04676fce55e602a87e43cb4c75c58fa61486cc73da0016c6
Window Design com.DesainJenDeLa.odieapps 14bffba23e2bf4a61b4a54f1ef5027225290eab7f10d4c663570629e456cf51e
Hijab StyLe com.HijabStyLe.odieapps 5dca7151c50ce88102b1fc5c0dd984c57202ad7c67f25be231d64cf1d52da437
Wing Chun com.TeknikWingChuni.xsadroid 3350f4eb55c2f00c1ba0380044a1a6670a4eddc5cbabf903f2ad2e266eab58d2
Fencing Technique com.TeknikAnggar.xsadroid c99a6e7e5d066076bacfad9142e3cf01855525782d638ccfe9ce7cd57d11ca5c

Notizie correlate

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Scoperte 35 false app di sicurezza su Google Play

18 aprile 2018

I ricercatori di sicurezza di ESET hanno recentemente scoperto nello store ufficiale Google Play 35 false app di sicurezza per dispositivi mobili Android.Leggi tutto