Una nuova campagna di phishing sta tentando di installare nei telefoni delle vittime un sofisticato malware che può impossessarsi completamente di un qualsiasi dispositivo mobile Android per rubare le credenziali degli utenti, installarvi un keylogger e persino criptare i dati di un dispositivo chiedendo poi un riscatto per sbloccarli. 

Gli attacchi sono progettati per le caselle di posta e sfruttano il malware Anubis, un complesso trojan utilizzato originariamente per lo spionaggio informatico già a metà 2019 e successivamente riproposto come trojan bancario.

I ricercatori di Cofense, che hanno scoperto l’attacco, hanno affermato che il malware colpisce prendendo di mira più di 250 app Android attraverso meccanismi per acquisire le credenziali immesse nelle app (keylogging). 

I messaggi di phishing contengono collegamenti a un file APK (Android Package Kit, le app di Android) che, se scaricato ed eseguito, avvia una versione falsa del programma Google Play Protect. Successivamente, il processo di installazione tenta di indurre l’utente a fornire i permessi per eseguire un’app Android non certificata sul dispositivo infetto e, se concessi, darebbero agli avversari il controllo completo del telefono. L’attacco, come spesso accade, è portato avanti attraverso una classica e-mail di phishing che sembra provenire da un contatto di fiducia e chiede agli utenti di scaricare una fattura, secondo quanto riportato da un articolo pubblicato sul blog di Cofense dal ricercatore Marcel Feller. 

«Quando il collegamento e-mail viene aperto da un dispositivo Android, viene scaricato un file APK (Fattura002873.apk)», ha scritto Feller. «All’apertura del file, all’utente viene chiesto di abilitare Google Play Protect. Tuttavia, questa non è una schermata Google Play Protect originale; invece, con questa operazione, l’utente fornisce involontariamente all’app tutte le autorizzazioni per una violazione, disabilitando contemporaneamente di fatto l’originale Google Play Protect». 

La campagna mira a colpire principalmente le app bancarie e finanziarie, ma controlla anche le app di shopping online più popolari come eBay o Amazon in modo da poter rubare i dati finanziari degli utenti. 

«Una volta che un’applicazione bersaglio è stata identificata – continua Feller – Anubis sovrappone all’app originale una pagina di accesso falsa per acquisire le credenziali dell'utente». Se installato, le funzionalità del malware includono l’acquisizione di schermate, l’attivazione o la modifica dei permessi di amministrazione, l’apertura e la visita di qualsiasi URL, la registrazione dell’audio e l’avvio di chiamate telefoniche. Sempre secondo quanto riportato dal ricercatore, «Anubis può manipolare completamente un dispositivo mobile Android, rubare dati, registrare telefonate e persino criptare il dispositivo per poi farsi pagare decrittando i file personali della vittima». 

Diversi campioni di Anubis sono stati identificati e utilizzati come parte di altre campagne di diffusione di malware dopo che il suo autore sarebbe stato arrestato e il codice sorgente del malware sarebbe stato messo a disposizione on line l’anno scorso. A novembre, ad esempio, il codice di Anubis è stato introdotto in un nuovo malware per colpire i sistemi di mobile banking per Android soprannominato Gnip. 

La nuova campagna, che colpisce diverse versioni del sistema operativo Android, combina varie skill in un unico pacchetto. Cofense, tuttavia, non indica l’intera gamma di versioni di Android potenzialmente interessate. Pur mettendo principalmente in pericolo gli utenti di dispositivi mobili, Anubis minaccia anche l’ambiente aziendale a causa del crescente utilizzo delle politiche BYOD (bring your own device), ha affermato il ricercatore. Quelli più a rischio sarebbero gli utenti che hanno configurato il proprio dispositivo mobile Android per ricevere e-mail aziendali e consentire l’installazione di applicazioni non firmate. La campagna include anche un keylogger, che funziona in tutte le app installate sul dispositivo di destinazione. Il keylogger, stando a quanto riportato da Feller, è una funzionalità post-infezione ed è abilitato in remoto tramite il server di comando & controllo dell’hacker. Per evitare di essere vittima di questo attacco di phishing, Cofense consiglia agli utenti di limitare l’installazione di app sui dispositivi aziendali, utilizzando solo app create da sviluppatori certificati e scaricate dai market ufficiali. 

Tweet