Aggiornamenti recenti Giugno 13th, 2025 12:44 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
- Smartwatch e attacchi acustici: nuova minaccia alle reti isolate
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
Android: attacco in due mosse… col trucco
Il malware viene scaricato da un’app apparentemente innocua e blocca il sistema per il tempo che serve e impedire la disinstallazione.
Sempre più sofisticati, sfruttando semplicemente i “buchi” del sistema operativo. Gli autori di malware per il sistema Android, negli ultimi mesi, stanno dimostrando di avere una certa inventiva nello sfruttare le caratteristiche (debolezze?) del sistema operativo Google.
L’ultima trovata è quella di usare una tecnica di attacco in due fasi: la prima app scarica il malware vero e proprio, che blocca lo smartphone ogni volta che si prova a disinstallarlo.
A spiegare come funziona il tutto ci hanno pensato i ricercatori di Zscaler che in un report illustrano la tecnica usata dai pirati informatici per infettare i dispositivi.
La campagna di distribuzione individuata dai ricercatori ha sfruttato come veicolo di infezione primario degli avvisi pubblicitari pubblicati su un forum online chiamato GodLikeProcductions.
Il trucchetto porta al download di un’app chiamata Ks Clean (kskas.apk) che dovrebbe essere un “cleaner” per sistemi Android. L’app, però, ha una sola funzione: visualizzare un falso messaggio di aggiornamento che ha un unico pulsante nella finestra: OK.
Sul tuo smartphone c’è un problema di sicurezza! Installa questo agfgiornamento per un’applicazione sconosciuta che è stata scaricata automaticamente da un forum dalla dubbia reputazione e vedrai che andrà tutto a posto…
Insomma: una volta installata l’app, sullo schermo dello smartphone compare l’avviso intitolato “update” giustificato da presunti rischi per la sicurezza dei dati e riguardo il quale l’utente non ha apparentemente altra scelta se non quella di acconsentire al presunto aggiornamento.
Peccato che l’update, in realtà, sia un installer. E più precisamente l’installazione di un’app che chiede immediatamente privilegi di amministratore. Se l’utente glieli concede, se la ritrova installata sul dispositivo senza possibilità di rimuoverla.
Per impedire la rimozione, Update.APK utilizza un semplice trucchetto: visto che è impossibile disinstallare un’app con privilegi di amministratore prima di aver revocato i privilegi stessi, utilizza una funzione che “congela” lo smartphone ogni volta che si cerca di intervenire sui permessi relativi all’app.
Risultato: Update.APK non può essere rimosso in alcun modo. A questo punto, il malware comincia a visualizzare pubblicità indesiderate sul dispositivo, ma si riserva anche di fare altro.
Secondo i ricercatori di Zscaler, infatti, Update.APK instaura una connessione con un server Command and Control e ha la possibilità di modificare le impostazioni del dispositivo, scaricare dati senza alcun avviso e attivare funzioni di overlay sull’interfaccia, una tecnica utilizzata spesso come strumento di keylogging sugli smartphone.
Insomma: oltre a visualizzare pubblicità indesiderata, Update.APK potrebbe in futuro anche rubare credenziali di accesso, informazioni riservate e messaggi.
La campagna di distribuzione individuata da Zscaler, fortunatamente, ha dimensioni estremamente ridotte: circa 300 istanze localizzate per lo più in USA, Gran Bretagna e Francia. La tecnica utilizzata per impedire l’installazione, però, potrebbe essere clonata facilmente e utilizzata in altri malware. Occhi aperti e… diffidate degli update non richiesti dal sistema.
Condividi l'articolo
Un trojan usa i Raspberry Pi per generare cripto-valuta. Ma ha senso?
Traditi dalla stampante. The Intercept “brucia” la sua talpa nell’NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno... -
Smartwatch e attacchi acustici: nuova minaccia alle reti... Le reti air-gapped, ovvero fisicamente separate da Internet... -
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce...
Ransomware: la serie
No posts found.
