immuni

Fate tutti attenzione ad Alien, il malware per Android che è nato come variante di Cerberus, il quale si era diffuso come trojan banking in Italia alla fine del 2020. Questa volta, però, il virus di diffonde in maniera più subdola, e lo fa mediante un sito internet malevolo che riproduce graficamente il portale ufficiale dell’app Immuni.

Il sito “hxxps://it-immuni[.]com/” è tutto in italiano, ha il regolare certificato SSL per aumentarne la credibilità e sfrutta il layout del sito ufficiale https://www.immuni.italia.it/ imitandone loghi e alcuni contenuti. Dunque, l’avviso è quello di controllare prima l’URL prima di scaricare l’app Immuni. Scaricare dall’app “immunti.italia.it” e non da “it.immuni.com”.

 

 

Android, Immuni: la minaccia è molto seria e agisce in background

Quindi, la minaccia si nasconde nell’app fake di Immuni per Android, che il sito che vi abbiamo detto prima suggerisce di scaricare. Se l’avete, purtroppo, scaricata e installata, vi chiederà l’autorizzazione per l’esecuzione in background, e così non vi accorgerete di tutte le azioni malevoli che sta effettuando.

Inoltre, nascondendosi un trojan bancario nel codice dell’app, è potenzialmente in grado di scaricare payload malevoli da server C&C.

Andando a vedere la situazione nel dettaglio, ecco la lista delle operazioni che possono essere eseguite ai danni della vittima:

  • registrare le digitazioni da tastiera;
  • installare TeamViewer per mantenere l’accesso da remoto al dispositivo;
  • raccogliere, inviare o inoltrare SMS;
  • sottrarre la lista dei contatti;
  • inoltrare chiamate;
  • installare e avviare altre app;
  • aprire il browser e indirizzarlo su pagine specifiche;
  • bloccare lo schermo;
  • visualizzare le notifiche mostrate sul dispositivo;
  • sottrarre codici 2FA generati da app di autenticazione.
  • raccogliere dettagli sul dispositivo e la lista delle app;
  • registrare dati di geo-localizzazione;
  • effettuare richieste USSD;

Le raccomandazioni in merito che possiamo darvi è quello di verificare sempre i link che vi vengono inviati tramite posta, chat o social network. In particolar modo quando i mittenti non si conoscono, se il link appare in forma di pop-up o suggerito da altre app installate.

VIAcybersecurity360