martedì 21 novembre 2017

Ennesima ondata di app compromesse sbarca nel Play Store di Google: arrivano i malware multi-stage


Un'altra ondata di app dannose si è infiltrata nell'app store ufficiale di Android. Il malware BKY infatti è stato riscontrato in 8 diverse app sul Google Play: le 8 app sono già state segnalate a Google. Nessuna delle app in questione ha ottenuto più di un centinaio di download, ma riteniamo utile parlarne perchè il problema delle app dannose che superano i controlli preventivi di Google Play è diventato ormai allarmante. 

Qualche tempo fa infatti due falsi WhatsApp sul Google Play hanno registrato più di 1 milione di download, comportando l'infezione degli utenti, un numero impressionante di dati rubati ecc...(ne avevamo già parlato qui). Google sta cercando costantemente di migliorare i meccanismi di sicurezza, ma i cyber-criminali stanno implementando tecniche anti-individuazione sempre più raffinate. 

Qui l'elenco delle 8 app compromesse
  • Nome App:  MEX Tools 
    Nome pacchetto: com.fleeeishei.erabladmounsem
  • Nome App:  Cleaner for Android
    Nome pacchetto: com.softmuiiurket.cleanerforandroid
  • Nome App:  Clear Android  
    Nome pacchetto:  com.expjhvjhertsoft.bestrambooster
  • Nome App:  Слоты Онлайн Клуб Игровые Автоматы 
    Nome pacchetto: gotov.games.toppro
  • Nome App:  Игровые Автоматы Слоты Онлайн
    Nome pacchetto: slots.forgame.vul
  • Nome App:  World News
    Nome pacchetto: com.bucholregaum.hampelpa
  • Nome App:  WORLD NEWS 
    Nome pacchetto:  com.peridesuramant.worldnews
  • Nome App:  World News PRO 
    Nome pacchetto:  com.peridesurrramant.worldnews

Le funzioni anti-individuazione
Tutti i malware individuati in queste app hanno un architettura multi-stadio criptata per restare nascosta agli strumenti di individuazione di Google. Dopo essere state scaricate e installate, queste app non richiedono alcuna autorizzazione sospetta e anzi, al contrario, imitano piuttosto precisamente l'attività che l'utente si aspetta da quell'app. Mentre fa questo, l'app dannosa decripta ed esegue il proprio payload: il first-stage payload. Questo decripta ed esegue il payload del secondo stadio, salvato nelle risorse dell'app scaricata: l'utente non ha consapevolezza di queste attività, coperte da pesanti misure di offuscamento. 

Il payload di second-stage contiene, nel proprio codice, un URL dal quale viene scaricata un'ulteriore app dannosa senza la consapevolezza della vittima. Dopo un lasso di tempo di 5 minuti, l'utente visualizza un prompt che lo invita ad installare l'app scaricata. Solitamente questa app si spaccia per Adobe Flash Player o qualcosa legato agli update di Adobe o per Android. In ogni caso, questa app scarica il payload finale e ottiene quindi le permissioni per svolgere ogni tipo di attività.

La richiesta di installazione del payload di terzo stadio

Fatto questo viene scaricato e installato il payload di 4 stadio: l'ultimo. In quasi tutti i casi in analisi, il payload risulta essere un trojan bancario: una volta installato mostra falsi form di login per rubare credenziali e dettagli della carta di credito. 

Il link dal quale viene scaricato il payload finale è prodotto da bit.ly, un sistema utile ad abbreviare link troppo lunghi: tramite questo è stato possibile scoprire che questo payload è stato scaricato oltre 3000 volte, la maggior parte dei casi da utenti olandesi. Alcuni casi più recenti invece recavano il trojan MazarBot (per saperne di più) o, in caso minori, uno spyware.

Come proteggersi?
E' difficile: il meccanismo multi-stage, la criptazione e l'alto livello di offuscamento rendono difficile l'individuazione di queste minacce. E' cruciale, in questo caso verificare le recensioni e i commenti, prestare grande attenzione ai permessi che chiedono le app e dotarsi di soluzioni di sicurezza mobile di qualità. 

Nessun commento:

Posta un commento