Malware in Android prende di mira le app di mobile banking

Ennesimo caso di malware nella piattaforma Android scoperto dagli analisti di Fortinet: stavolta si tratta di un app malevola che prende di mira 15 app di altrettanti istituti bancari tedeschi. In aggiunta, questo malware rileva se nel dispositivo sono installati antivirus e blocca il loro caricamento in memoria. Gli analisti hanno chiamato il malware Android/Banker.GT!tr.spy.


Esteticamente si presenta come una normale app/client di posta, la quale però richiede privilegi di amministratore all’installazione. 
Gli antivirus che il malware riconosce e blocca sono i seguenti:

com.qihoo.security                                                        
com.antivirus                                                            
com.thegoldengoodapps.phone_cleaning_virus_free.cleaner.booster          
com.antivirus.tabletcom.nqmobile.antivirus20                              
com.kms.free                                                              
com.drweb                                                                
com.trustlook.antivirus                                                    
com.eset.ems2.gp                                                          
com.eset.ems.gp                                                          
com.symantec.mobilesecurity                                                
com.duapps.antivirus                                                      
com.piriform.ccleaner                                                    
com.cleanmaster.mguard                                                    
com.cleanmaster.security                                                  
com.sonyericsson.mtp.extension.factoryreset                              
com.anhlt.antiviruspro                                                    
com.cleanmaster.sdk                                                        
com.qihoo.security.lite                                                  
oem.antivirus                                                            
com.netqin.antivirus                                                      
droiddudes.best.anitvirus                                                
com.bitdefender.antivirus                                                
com.dianxinos.optimizer.duplay                                            
com.cleanmaster.mguard_x8                                                
com.womboidsystems.antivirus.security.android                            
com.nqmobile.antivirus20.clarobr                                          
com.referplish.VirusRemovalForAndroid                                    
com.cleanmaster.boost                                                    
com.zrgiu.antivirus                                                      
avg.antivirus    

Dopo l’installazione il malware raccoglie informazioni sul dispositivo come IMEI,  numero di telefono ecc e rimane in attesa di comandi da parte del server C&C che possono essere i seguenti:

rent&&&: start intercepting all incoming SMS messages;
sms_stop&&&: stop intercepting incoming SMS messages;
sent&&&: send a text message;
ussd&&&: send a USSD request;
delivery&&&: send SMS messages to all contact list numbers;
api_serverchange the address of the command and C2 server;
Appmass: send mass text messages
windowStop: add a specified app to the exclusion list so that when the app is launched, the phishing screen is not displayed;
windowStart: delete a specified app from the exclusion list;
windowsnew: download an updated targeted apps list from C2 server;
updateInfo: send information collected from device to C2 server;
freedialog: display a templated-based dialog using Webview;
freedialogdisable: cancel the display of the Webview dialog;
adminPhone: change the phone number used to send SMS messages
killStart: set a password for screenlock;
killStop: clear the password from screenlock;
notification: display a notification with the received parameters.

La rimozione avviene tramite la disabilitazione dei privilegi di amministratore del malware:
Impostazioni > Sicurezza > amministratori dispositivo > Admin dispositivo > Disattiva
Secondo passo è lanciare il comando “adb uninstall [packagename]tramite l’ADB (Android Debug Bridge). Per ulteriori info ed istruzioni vedere questa pagina
Per ora sembra che il malware colpisca solo gli utenti tedeschi ma potrebbe esser esteso a livello globale, prestare quindi la dovuta attenzione nell’uso del nostro dispositivo Android, anche quando scarichiamo app dallo store ufficiale, leggiamo le recensioni di chi ha già scaricato l’app e controlliamo di non assegnare privilegi troppo elevati ad app che non le richiedono, come nel caso di questo malware. 

Articoli Correlati

KLIM Ace, il nuovo mouse wireless per videogiocatori

Nuove Creative Zen Hybrid

KB5013943 in Windows 11 provoca bluescreen con i prodotti Sophos