Ecco il primo malware per Android che sfrutta i messaggi Toast

Nov 13, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0

È stato battezzato ToastAmigo e utilizza una tecnica di attacco individuata lo scorso settembre. La versione più recente di Android è immune.

Il copione è sempre lo stesso: i ricercatori scoprono la vulnerabilità, gli sviluppatori pubblicano la patch e poi arrivano i pirati che sfruttano il bug per colpire gli utenti che non hanno eseguito gli aggiornamenti.

Questa volta la filiera del cyber-crimine coinvolge Android e la vulnerabilità legata ai cosiddetti messaggi Toast, gli avvisi che compaiono in sovrimpressione sullo schermo e che possono essere sfruttati per indurre gli utenti a premere comandi “nascosti” ingannandoli attraverso la sovrapposizione di finte schermate.

La tecnica di attacco, che abbiamo spiegato nel dettaglio in questo articolo, consente in pratica ai pirati informatici di ottenere per le loro app una serie di permessi che, normalmente, gli utilizzatori si guarderebbero bene dal dare, come l’accesso ai contatti, la possibilità di inviare SMS e simili. In altri casi, come in quello di ToastAmigo, la tecnica viene utilizzata per coprire l’attività del malware.

Come si legge nel report pubblicato da Trend Micro, ToastAmigo è stato diffuso attraverso due app pubblicate su Google Play, entrambe con il nome di Smart AppLocker. Ironicamente, le app dovrebbero rappresentare uno strumento per proteggere la privacy degli utenti consentendo di proteggere con un PIN le applicazioni più sensibili.

In realtà il loro scopo è ben altro. Una volta installato sul dispositivo, ToastAmigo chiede per prima cosa il permesso di accedere alle funzioni di accessibilità di Android, una tecnica utilizzata anche da altri malware per ottenere i privilegi di amministratore.

Poi utilizza un messaggio Toast visualizzato a tutto schermo per coprire le sue attività. Mentre l’utente vede un processo di avanzamento, in realtà ToastAmigo sta effettuando una serie di azioni che gli consentono di bloccare le app di sicurezza installate sul dispositivo e sfrutta le funzioni di accessibilità per installare un APK che scarica da Internet, anch’esso con permessi per le funzioni di accessibilità.

A sinistra quello che vede l’utilizzatore del dispositivo, a destra ciò che accade davvero.

L’APK scaricato contiene un ulteriore malware, che i ricercatori di Trend Micro hanno battezzato con il nome di AmigoClicker. Viene installato come com.photos.android.helper e non compare nel launcher, ma solo nella lista delle app che hanno i permessi per le funzioni di accessibilità.

La sua funzione principale è quella di garantire profitti ai pirati informatici attraverso clic automatici su pubblicità all’interno di Facebook, ma agisce anche come un classico trojan, permettendo ai cyber-criminali di compiere operazioni a distanza come bloccare i software di sicurezza, eseguire ricerche su Google Play o registrare l’account Google della vittima.

Le caratteristiche di ToastAmigo gli permettono di colpire tutte le versioni di Android fino alla 8.0 (Oreo), nella quale Google ha introdotto un aggiornamento specifico che risolve i problemi legati alla gestione dei messaggi Toast. Il consiglio, piuttosto scontato, è quindi di aggiornare il sistema all’ultima versione.

Condividi l'articolo