Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Ecco il primo malware per Android che sfrutta i messaggi Toast
È stato battezzato ToastAmigo e utilizza una tecnica di attacco individuata lo scorso settembre. La versione più recente di Android è immune.
Il copione è sempre lo stesso: i ricercatori scoprono la vulnerabilità, gli sviluppatori pubblicano la patch e poi arrivano i pirati che sfruttano il bug per colpire gli utenti che non hanno eseguito gli aggiornamenti.
Questa volta la filiera del cyber-crimine coinvolge Android e la vulnerabilità legata ai cosiddetti messaggi Toast, gli avvisi che compaiono in sovrimpressione sullo schermo e che possono essere sfruttati per indurre gli utenti a premere comandi “nascosti” ingannandoli attraverso la sovrapposizione di finte schermate.
La tecnica di attacco, che abbiamo spiegato nel dettaglio in questo articolo, consente in pratica ai pirati informatici di ottenere per le loro app una serie di permessi che, normalmente, gli utilizzatori si guarderebbero bene dal dare, come l’accesso ai contatti, la possibilità di inviare SMS e simili. In altri casi, come in quello di ToastAmigo, la tecnica viene utilizzata per coprire l’attività del malware.
Come si legge nel report pubblicato da Trend Micro, ToastAmigo è stato diffuso attraverso due app pubblicate su Google Play, entrambe con il nome di Smart AppLocker. Ironicamente, le app dovrebbero rappresentare uno strumento per proteggere la privacy degli utenti consentendo di proteggere con un PIN le applicazioni più sensibili.
In realtà il loro scopo è ben altro. Una volta installato sul dispositivo, ToastAmigo chiede per prima cosa il permesso di accedere alle funzioni di accessibilità di Android, una tecnica utilizzata anche da altri malware per ottenere i privilegi di amministratore.
Poi utilizza un messaggio Toast visualizzato a tutto schermo per coprire le sue attività. Mentre l’utente vede un processo di avanzamento, in realtà ToastAmigo sta effettuando una serie di azioni che gli consentono di bloccare le app di sicurezza installate sul dispositivo e sfrutta le funzioni di accessibilità per installare un APK che scarica da Internet, anch’esso con permessi per le funzioni di accessibilità.
A sinistra quello che vede l’utilizzatore del dispositivo, a destra ciò che accade davvero.
L’APK scaricato contiene un ulteriore malware, che i ricercatori di Trend Micro hanno battezzato con il nome di AmigoClicker. Viene installato come com.photos.android.helper e non compare nel launcher, ma solo nella lista delle app che hanno i permessi per le funzioni di accessibilità.
La sua funzione principale è quella di garantire profitti ai pirati informatici attraverso clic automatici su pubblicità all’interno di Facebook, ma agisce anche come un classico trojan, permettendo ai cyber-criminali di compiere operazioni a distanza come bloccare i software di sicurezza, eseguire ricerche su Google Play o registrare l’account Google della vittima.
Le caratteristiche di ToastAmigo gli permettono di colpire tutte le versioni di Android fino alla 8.0 (Oreo), nella quale Google ha introdotto un aggiornamento specifico che risolve i problemi legati alla gestione dei messaggi Toast. Il consiglio, piuttosto scontato, è quindi di aggiornare il sistema all’ultima versione.
Condividi l'articolo
Un esperto della Homeland Security: “abbiamo hackerato un Boeing 757”
EavesDropper: a rischio messaggi e conversazioni sulla piattaforma Twilio
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
