Aggiornamenti recenti Agosto 11th, 2025 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
- SonicWall: Akira non sfrutta uno zero-day, ma una falla del 2024
- Anche Google vittima della campagna di ShinyHunters
- ReVault: vulnerabilità nei laptop Dell bypassano il login di Windows
- Possibile zero-day su SonicWall: Akira colpisce le aziende
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- CERT-AGID 2 – 8 agosto: rubati documenti d’identità a clienti di hotel italiani
L’app per migliorare le prestazioni della batteria? Può costare cara
Xafecopy è stato distribuito sotto forma di un’app per Android. Promette di risparmiar carica, ma ti abbona a servizi WAP.
Il WAP-billing è una vecchia conoscenza di chi usa il cellulare. Si tratta di quei servizi a pagamento che offrono ciarpame vario (suonerie, notizie, aforismi) e che si attivano attraverso l’iscrizione via SMS o una procedura di registrazione via Internet.
Un tempo venivano proposti attraverso messaggi al limite della truffa, in seguito sono diventati uno dei metodi preferiti dai pirati informatici per guadagnare denaro attraverso i loro malware per smartphone.
Anche se i casi di abuso dei servizi WAP non sono più frequenti come qualche anno fa, mantenere le antenne dritte e controllare periodicamente la bolletta è sempre consigliabile.
L’ultimo caso di un malware che sfrutta questo tipo di tecnica è descritto da G Data in un report pubblicato sul sito dell’azienda di sicurezza tedesca.
Si tratta di Xafecopy, un malware che secondo i ricercatori di GData ha caratteristiche davvero peculiari e che è stato diffuso sotto forma di un’app che si proponeva come uno strumento per ottimizzare l’uso della batteria.
In realtà Xafecopy è molto più complesso di una semplice app per la gestione della batteria ed è composto da numerosi pacchetti strutturati come scatole cinesi.
L’inserimento di sotto-pacchetti di installazione è usato per rendere più difficile l’analisi del codice contenuto nell’app.
Il payload vero e proprio del malware è contenuto in projectconfig e in wapsdk. È qui che si trova il codice che si collega agli URL per la registrazione ai servizi WAP, che contengono anche degli strumenti per aggirare il sistema di controllo CAPTCH e tenere sotto controllo gli SMS per intercettare comunicazioni con contenuti particolari, come “verification code”. Il tutto viene eseguito attraverso una serie di JavaScript offuscati tramite crittografia.
Per il momento Xafecopy sembra prendere di mira principalmente gli utenti mobile turchi, sottoscrivendo servizi legati a contenuti di videogiochi (il termine GAME compare spesso nel codice del malware) che prevedono il pagamento di un abbonamento periodico.
Secondo i ricercatori G Data, però, il malware contiene porzioni di codice che fanno pensare a possibili moduli ulteriori che potrebbero essere implementati, come l’upload verso i server Command and Control di informazioni ulteriori rubate dal dispositivo.
Condividi l'articolo
Ora il crypto-jacking sfrutta gli strumenti di Google
Uber hackerata nel 2016, ma ha nascosto tutto per un anno
Articoli correlati
Altro in questa categoria
Approfondimenti
Minacce recenti
Off topic
Post recenti
Ransomware: la serie
No posts found.