Malware in Android prende di mira le app di mobile banking

Alvise C.Novembre 23, 20160474 Guarda

Ennesimo caso di malware nella piattaforma Android scoperto dagli analisti di Fortinet: stavolta si tratta di un app malevola che prende di mira 15 app di altrettanti istituti bancari tedeschi. In aggiunta, questo malware rileva se nel dispositivo sono installati antivirus e blocca il loro caricamento in memoria. Gli analisti hanno chiamato il malware Android/Banker.GT!tr.spy.

Esteticamente si presenta come una normale app/client di posta, la quale però richiede privilegi di amministratore all’installazione.

Gli antivirus che il malware riconosce e blocca sono i seguenti:

com.qihoo.security
com.antivirus
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster
com.antivirus.tabletcom.nqmobile.antivirus20
com.kms.free
com.drweb
com.trustlook.antivirus
com.eset.ems2.gp
com.eset.ems.gp
com.symantec.mobilesecurity
com.duapps.antivirus
com.piriform.ccleaner
com.cleanmaster.mguard
com.cleanmaster.security
com.sonyericsson.mtp.extension.factoryreset
com.anhlt.antiviruspro
com.cleanmaster.sdk
com.qihoo.security.lite
oem.antivirus
com.netqin.antivirus
droiddudes.best.anitvirus
com.bitdefender.antivirus
com.dianxinos.optimizer.duplay
com.cleanmaster.mguard_x8
com.womboidsystems.antivirus.security.android
com.nqmobile.antivirus20.clarobr
com.referplish.VirusRemovalForAndroid
com.cleanmaster.boost
com.zrgiu.antivirus
avg.antivirus

Dopo l’installazione il malware raccoglie informazioni sul dispositivo come IMEI, numero di telefono ecc e rimane in attesa di comandi da parte del server C&C che possono essere i seguenti:

rent&&&: start intercepting all incoming SMS messages;
sms_stop&&&: stop intercepting incoming SMS messages;
sent&&&: send a text message;
ussd&&&: send a USSD request;
delivery&&&: send SMS messages to all contact list numbers;
api_server：change the address of the command and C2 server;
Appmass: send mass text messages
windowStop: add a specified app to the exclusion list so that when the app is launched, the phishing screen is not displayed;
windowStart: delete a specified app from the exclusion list;
windowsnew: download an updated targeted apps list from C2 server;
updateInfo: send information collected from device to C2 server;
freedialog: display a templated-based dialog using Webview;
freedialogdisable: cancel the display of the Webview dialog;
adminPhone: change the phone number used to send SMS messages
killStart: set a password for screenlock;
killStop: clear the password from screenlock;
notification: display a notification with the received parameters.

La rimozione avviene tramite la disabilitazione dei privilegi di amministratore del malware:

Impostazioni > Sicurezza > amministratori dispositivo > Admin dispositivo > Disattiva

Secondo passo è lanciare il comando “adb uninstall [packagename]” tramite l’ADB (Android Debug Bridge). Per ulteriori info ed istruzioni vedere questa pagina

Per ora sembra che il malware colpisca solo gli utenti tedeschi ma potrebbe esser esteso a livello globale, prestare quindi la dovuta attenzione nell’uso del nostro dispositivo Android, anche quando scarichiamo app dallo store ufficiale, leggiamo le recensioni di chi ha già scaricato l’app e controlliamo di non assegnare privilegi troppo elevati ad app che non le richiedono, come nel caso di questo malware.

Via: Fortinet Blog

Strumento di decriptazione rilasciato per Telecrypt Ransomware

Siemens rilascia firmware per problemi urgenti di sicurezza per le proprie videocamere IP

Articoli Correlati

La truffa del videomontaggio

Qual è il sistema operativo più usato al mondo?

Gestione Password Aziendale: NordPass Business è la Scelta Giusta nel 2025?