I laboratori Trend-Micro hanno individuato un nuovo malware chiamato TOASTAMIGO che colpisce tutte le versioni di Android antecedenti la 8.0 ovvero Oreo. Per eseguire l’attacco viene usata la tecnica Toast-Overlay che consiste nel sovrapporre un messaggio malevolo ad un messaggio attendibile invitando l’utente a cliccare su di esso. La funzionalità Toast infatti è usata proprio per mostrare messaggi di notifica sopra altre applicazioni.
Una delle app individuate è stata scaricata più di 500 mila volte.
Come già successo in passato il malware abusa delle funzioni di accessibilità di Android, vediamo nello specifico quindi come funziona:
- scarica sul dispositivo il primo APK
- abusa delle funzioni di accessibilità per scaricare il secondo APK, mantendole dopo l’attacco
- tenta di bloccare le app di sicurezza (antivirus) installate
- installa il secondo componente maligno, con funzioni ad-clicking con capacità di cliccare su banner pubblicitari su Facebook, darsi una recensione di 5 stelle sul Play Store, disinstallare pacchetti specifici ed ottenere privilegi amministrativi
Le app coinvolte
Le app incriminate sono state rimosse da Google dopo la segnalazione di Trend-Micro, i nomi delle app coinvolte sono:
- Smart AppLocker (com.agomi.applocker)
- MBoost (com.migo.booster)
- Smart AppLocker (com.googog.app)
- Smart AppLocker (com.gomigp.applocker)
- Migo AppLocker (com.luna.applocker.gp)
- Migo Locker (com.migo.screenlocker)
Approfondimenti e fonte: Toast Overlay Weaponized to Install Several Android Malware