Published On: lun, Mar 29th, 2021

Un nuovo malware Android che si propone come aggiornamento di sistema

Nelle ultime settimane i ricercatori di Zimperium zLabs hanno rivelato configurazioni cloud non protette che espongono i dati degli utenti su migliaia di applicazioni Android e iOS. 
Questo nuovo malware si nasconde all’interno di un’applicazione chiamata System Update, ovviamente non presente all’interno degli Store ufficiali.

Assume la forma di un aggiornamento del sistema per rubare dati, immagini, messaggi e usurpare il controllo su telefoni Android. Dopo aver assunto il controllo, gli aggressori possono registrare audio e telefonate, visualizzare la cronologia del browser, scattare foto e accedere ai messaggi di WhatsApp, tra le altre attività.

I ricercatori di zLabs hanno scoperto questa presunta applicazione dal motore malware z9 che alimenta il rilevamento zIPS sul dispositivo, confermando a Google che un’app del genere non è mai esistita né era prevista la pubblicazione su Google Play.


Il malware si nasconde all’interno di un’applicazione chiamata System Update

Con un ampio elenco di funzionalità di compromissione, questo malware può rubare messaggi dai sistemi di messaggistica istantanea e dai loro file di database utilizzando root, esaminare i segnalibri e le ricerche dei browser predefiniti, ispezionare i segnalibri e la cronologia delle ricerche da Google Chrome, Mozilla Firefox e browser Internet Samsung, cercare file con estensioni specifiche .doc, .docx, .pdf, .xls e .xlsx; esaminare i dati degli appunti e il contenuto delle notifiche, scattare foto periodiche tramite la fotocamera anteriore o posteriore, visualizzare le applicazioni installate, rubare immagini e video, monitorare tramite GPS, rubare i contatti del telefono e i messaggi SMS, nonché i registri delle chiamate ed estrarre le informazioni del dispositivo come il nome del dispositivo e dati di archiviazione.

Inoltre, può persino nascondersi nascondendo la sua icona dal menu dei dispositivi.

Questo malware funziona eseguendo Firebase Command and Control (C&C) al momento dell’installazione da app store di terze parti non Google, elencato sotto i nomi “update” e “refreshAllData“.

Per migliorare il suo senso di legittimità, l’app contiene informazioni sulle funzionalità come la presenza di WhatsApp, la percentuale della batteria, le statistiche di archiviazione, il tipo di connessione Internet e il token del servizio di messaggistica Firebase. Una volta che l’utente sceglie di “aggiornare” le informazioni esistenti, l’app si infiltra nel dispositivo interessato. Dopo la diffusione, il C&C riceve tutti i dati rilevanti, incluso il nuovo token Firebase generato.

Mentre la comunicazione Firebase effettua i comandi necessari, il server C&C dedicato utilizza una richiesta POST per raccogliere i dati rubati. Le azioni degne di nota che attivano l’esfiltrazione da parte dell’app includono l’aggiunta di un nuovo contatto, l’installazione di una nuova applicazione tramite ContentObserver di Android o la ricezione di un nuovo SMS.

About the Author

- Giornalista scientifico, iscritto all'ordine nazionale dal 2013. Si occupa di cronaca scientifica dal 2011. Contatti: renato.sansone@geomagazine.it