Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Android: attacco in due mosse… col trucco
Il malware viene scaricato da un’app apparentemente innocua e blocca il sistema per il tempo che serve e impedire la disinstallazione.
Sempre più sofisticati, sfruttando semplicemente i “buchi” del sistema operativo. Gli autori di malware per il sistema Android, negli ultimi mesi, stanno dimostrando di avere una certa inventiva nello sfruttare le caratteristiche (debolezze?) del sistema operativo Google.
L’ultima trovata è quella di usare una tecnica di attacco in due fasi: la prima app scarica il malware vero e proprio, che blocca lo smartphone ogni volta che si prova a disinstallarlo.
A spiegare come funziona il tutto ci hanno pensato i ricercatori di Zscaler che in un report illustrano la tecnica usata dai pirati informatici per infettare i dispositivi.
La campagna di distribuzione individuata dai ricercatori ha sfruttato come veicolo di infezione primario degli avvisi pubblicitari pubblicati su un forum online chiamato GodLikeProcductions.
Il trucchetto porta al download di un’app chiamata Ks Clean (kskas.apk) che dovrebbe essere un “cleaner” per sistemi Android. L’app, però, ha una sola funzione: visualizzare un falso messaggio di aggiornamento che ha un unico pulsante nella finestra: OK.
Sul tuo smartphone c’è un problema di sicurezza! Installa questo agfgiornamento per un’applicazione sconosciuta che è stata scaricata automaticamente da un forum dalla dubbia reputazione e vedrai che andrà tutto a posto…
Insomma: una volta installata l’app, sullo schermo dello smartphone compare l’avviso intitolato “update” giustificato da presunti rischi per la sicurezza dei dati e riguardo il quale l’utente non ha apparentemente altra scelta se non quella di acconsentire al presunto aggiornamento.
Peccato che l’update, in realtà, sia un installer. E più precisamente l’installazione di un’app che chiede immediatamente privilegi di amministratore. Se l’utente glieli concede, se la ritrova installata sul dispositivo senza possibilità di rimuoverla.
Per impedire la rimozione, Update.APK utilizza un semplice trucchetto: visto che è impossibile disinstallare un’app con privilegi di amministratore prima di aver revocato i privilegi stessi, utilizza una funzione che “congela” lo smartphone ogni volta che si cerca di intervenire sui permessi relativi all’app.
Risultato: Update.APK non può essere rimosso in alcun modo. A questo punto, il malware comincia a visualizzare pubblicità indesiderate sul dispositivo, ma si riserva anche di fare altro.
Secondo i ricercatori di Zscaler, infatti, Update.APK instaura una connessione con un server Command and Control e ha la possibilità di modificare le impostazioni del dispositivo, scaricare dati senza alcun avviso e attivare funzioni di overlay sull’interfaccia, una tecnica utilizzata spesso come strumento di keylogging sugli smartphone.
Insomma: oltre a visualizzare pubblicità indesiderata, Update.APK potrebbe in futuro anche rubare credenziali di accesso, informazioni riservate e messaggi.
La campagna di distribuzione individuata da Zscaler, fortunatamente, ha dimensioni estremamente ridotte: circa 300 istanze localizzate per lo più in USA, Gran Bretagna e Francia. La tecnica utilizzata per impedire l’installazione, però, potrebbe essere clonata facilmente e utilizzata in altri malware. Occhi aperti e… diffidate degli update non richiesti dal sistema.
Condividi l'articolo
Un trojan usa i Raspberry Pi per generare cripto-valuta. Ma ha senso?
Traditi dalla stampante. The Intercept “brucia” la sua talpa nell’NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
