Aggiornamenti recenti Maggio 22nd, 2026 12:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Kaspersky: gli agenti IA cambiano la fiducia aziendale
- HackerOne taglia drasticamente le ricompense dei bug bounty
- Attacco ai router Huawei dietro blackout telecom del Lussemburgo
- MSHTA, lo “zombie” di IE che alimenta attacchi su Windows
- NGINX Rift, rischio RCE per una falla rimasta nascosta 18 anni
Android: attacco in due mosse… col trucco
Il malware viene scaricato da un’app apparentemente innocua e blocca il sistema per il tempo che serve e impedire la disinstallazione.
Sempre più sofisticati, sfruttando semplicemente i “buchi” del sistema operativo. Gli autori di malware per il sistema Android, negli ultimi mesi, stanno dimostrando di avere una certa inventiva nello sfruttare le caratteristiche (debolezze?) del sistema operativo Google.
L’ultima trovata è quella di usare una tecnica di attacco in due fasi: la prima app scarica il malware vero e proprio, che blocca lo smartphone ogni volta che si prova a disinstallarlo.
A spiegare come funziona il tutto ci hanno pensato i ricercatori di Zscaler che in un report illustrano la tecnica usata dai pirati informatici per infettare i dispositivi.
La campagna di distribuzione individuata dai ricercatori ha sfruttato come veicolo di infezione primario degli avvisi pubblicitari pubblicati su un forum online chiamato GodLikeProcductions.
Il trucchetto porta al download di un’app chiamata Ks Clean (kskas.apk) che dovrebbe essere un “cleaner” per sistemi Android. L’app, però, ha una sola funzione: visualizzare un falso messaggio di aggiornamento che ha un unico pulsante nella finestra: OK.
Sul tuo smartphone c’è un problema di sicurezza! Installa questo agfgiornamento per un’applicazione sconosciuta che è stata scaricata automaticamente da un forum dalla dubbia reputazione e vedrai che andrà tutto a posto…
Insomma: una volta installata l’app, sullo schermo dello smartphone compare l’avviso intitolato “update” giustificato da presunti rischi per la sicurezza dei dati e riguardo il quale l’utente non ha apparentemente altra scelta se non quella di acconsentire al presunto aggiornamento.
Peccato che l’update, in realtà, sia un installer. E più precisamente l’installazione di un’app che chiede immediatamente privilegi di amministratore. Se l’utente glieli concede, se la ritrova installata sul dispositivo senza possibilità di rimuoverla.
Per impedire la rimozione, Update.APK utilizza un semplice trucchetto: visto che è impossibile disinstallare un’app con privilegi di amministratore prima di aver revocato i privilegi stessi, utilizza una funzione che “congela” lo smartphone ogni volta che si cerca di intervenire sui permessi relativi all’app.
Risultato: Update.APK non può essere rimosso in alcun modo. A questo punto, il malware comincia a visualizzare pubblicità indesiderate sul dispositivo, ma si riserva anche di fare altro.
Secondo i ricercatori di Zscaler, infatti, Update.APK instaura una connessione con un server Command and Control e ha la possibilità di modificare le impostazioni del dispositivo, scaricare dati senza alcun avviso e attivare funzioni di overlay sull’interfaccia, una tecnica utilizzata spesso come strumento di keylogging sugli smartphone.
Insomma: oltre a visualizzare pubblicità indesiderata, Update.APK potrebbe in futuro anche rubare credenziali di accesso, informazioni riservate e messaggi.
La campagna di distribuzione individuata da Zscaler, fortunatamente, ha dimensioni estremamente ridotte: circa 300 istanze localizzate per lo più in USA, Gran Bretagna e Francia. La tecnica utilizzata per impedire l’installazione, però, potrebbe essere clonata facilmente e utilizzata in altri malware. Occhi aperti e… diffidate degli update non richiesti dal sistema.
Condividi l'articolo
Un trojan usa i Raspberry Pi per generare cripto-valuta. Ma ha senso?
Traditi dalla stampante. The Intercept “brucia” la sua talpa nell’NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Kaspersky: gli agenti IA cambiano la fiducia aziendale Gli agenti di intelligenza artificiale sono ormai entrati... -
Un dipendente su otto considera accettabile vendere le... Il problema del dipendente “infedele” è vecchio quanto... -
Honeypot intelligenti: come gli agenti AI ingannano gli... Stanno arrivando, ma non nascono già pronti. Stiamo... -
I dati sono recuperabili (troppo) facilmente dalle auto... Come sappiamo, le auto moderne sono sempre più simili a... -
Reset password: una misura di sicurezza che diventa Vi ricordate il vecchio adagio “cambia la password almeno...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
HackerOne taglia drasticamente le ricompense dei bug bounty L’epoca d’oro dei bug bounty potrebbe stare entrando in... -
Attacco ai router Huawei dietro blackout telecom del... Un attacco informatico basato su una vulnerabilità... -
MSHTA, lo “zombie” di IE che alimenta attacchi su... Nonostante Internet Explorer sia ormai ufficialmente morto... -
NGINX Rift, rischio RCE per una falla rimasta nascosta 18... Una vulnerabilità critica rimasta nascosta per quasi due... -
Falso repository OpenAI su Hugging Face distribuisce La corsa all’AI sta creando nuove superfici di attacco...
Ransomware: la serie
No posts found.