Malware in Android prende di mira le app di mobile banking

Alvise C.Novembre 23, 20160335 Guarda

Ennesimo caso di malware nella piattaforma Android scoperto dagli analisti di Fortinet: stavolta si tratta di un app malevola che prende di mira 15 app di altrettanti istituti bancari tedeschi. In aggiunta, questo malware rileva se nel dispositivo sono installati antivirus e blocca il loro caricamento in memoria. Gli analisti hanno chiamato il malware

Esteticamente si presenta come una normale app/client di posta, la quale però richiede privilegi di amministratore all’installazione.

Gli antivirus che il malware riconosce e blocca sono i seguenti:

com.qihoo.security
com.antivirus
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster
com.antivirus.tabletcom.nqmobile.antivirus20
com.kms.free
com.drweb
com.trustlook.antivirus
com.eset.ems2.gp
com.eset.ems.gp
com.symantec.mobilesecurity
com.duapps.antivirus
com.piriform.ccleaner
com.cleanmaster.mguard
com.cleanmaster.security
com.sonyericsson.mtp.extension.factoryreset
com.anhlt.antiviruspro
com.cleanmaster.sdk
com.qihoo.security.lite
oem.antivirus
com.netqin.antivirus
droiddudes.best.anitvirus
com.bitdefender.antivirus
com.dianxinos.optimizer.duplay
com.cleanmaster.mguard_x8
com.womboidsystems.antivirus.security.android
com.nqmobile.antivirus20.clarobr
com.referplish.VirusRemovalForAndroid
com.cleanmaster.boost
com.zrgiu.antivirus
avg.antivirus

Dopo l’installazione il malware raccoglie informazioni sul dispositivo come IMEI, numero di telefono ecc e rimane in attesa di comandi da parte del server C&C che possono essere i seguenti:

rent&&&: start intercepting all incoming SMS messages;
sms_stop&&&: stop intercepting incoming SMS messages;
sent&&&: send a text message;
ussd&&&: send a USSD request;
delivery&&&: send SMS messages to all contact list numbers;
api_serverchange the address of the command and C2 server;
Appmass: send mass text messages
windowStop: add a specified app to the exclusion list so that when the app is launched, the phishing screen is not displayed;
windowStart: delete a specified app from the exclusion list;
windowsnew: download an updated targeted apps list from C2 server;
updateInfo: send information collected from device to C2 server;
freedialog: display a templated-based dialog using Webview;
freedialogdisable: cancel the display of the Webview dialog;
adminPhone: change the phone number used to send SMS messages
killStart: set a password for screenlock;
killStop: clear the password from screenlock;
notification: display a notification with the received parameters.

La rimozione avviene tramite la disabilitazione dei privilegi di amministratore del malware:

Impostazioni > Sicurezza > amministratori dispositivo > Admin dispositivo > Disattiva

Secondo passo è lanciare il comando “

Per ora sembra che il malware colpisca solo gli utenti tedeschi ma potrebbe esser esteso a livello globale, prestare quindi la dovuta attenzione nell’uso del nostro dispositivo Android, anche quando scarichiamo app dallo store ufficiale, leggiamo le recensioni di chi ha già scaricato l’app e controlliamo di non assegnare privilegi troppo elevati ad app che non le richiedono, come nel caso di questo malware.

Via: Fortinet Blog

Strumento di decriptazione rilasciato per Telecrypt Ransomware

Siemens rilascia firmware per problemi urgenti di sicurezza per le proprie videocamere IP

Articoli Correlati

Come avviare una distro live di KUbuntu per salvare i propri dati

Gli antivirus migliori del 2024

Come rimuovere Google Drive dall’Accesso Rapido