Un account Twitter con 67.000 follower è stato utilizzato per promuovere una varietà di malware mobile che viene presentato come un gioco intitolato all’attrice porno Mia Khalifa. Se viene scaricato, potrebbe spiare gli smartphone dei malcapitati, ha avvertito l’azienda di cybersicurezza.
Il team di ricercatori di Trend Micro ha dichiarato che alcune vittime hanno acquisito il malware proprio da un sito Web che utilizzava il nome Khalifa. Recentemente, diversi account Twitter hanno spinto le vittime in un secondo gioco chiamato “Virtual Girlfriend” utilizzando link abbreviati che portano allo stesso dominio e che si traduce in una trappola. Le ultime varianti sono state scoperte a marzo di quest’anno, hanno rivelato esperti di sicurezza.
Quando una vittima fa clic sul collegamento condiviso tramite Twitter, viene trasferita a una pagina di download che promette un’applicazione per adulti. Una volta cliccato, i ricercatori dicono che l’applicazione visualizza una pagina di errore e afferma che è in fase di disinstallazione. In realtà, si nasconde nella parte interna del dispositivo. Da lì, può essere utilizzato per rubare messaggi di testo, elenchi di contatti e un record di ogni applicazione installata.
Inoltre, le spie, le cui identità rimangono sconosciute, possono emettere una serie di comandi remoti, inclusa la registrazione del suono dell’intero dispositivo. In un’altra tattica di frode, il malware apre un falso dominio di Mia Khalifa e cerca di rubare i dettagli della carta di credito.
Uno dei profili di Twitter utilizzati per diffondere collegamenti, noto come “Round Year Fun“, ha anche un sito Web che ospita giochi scaricabili e diversi sondaggi sui social media di terze parti, del tipo “Come e quando morirai?“. Secondo la ricerca di Trend Micro, le prove suggeriscono che il sito web sia direttamente correlato ai criminali informatici.
In un post sul blog, gli esperti Ecular Xu e Grey Guo hanno scritto: “Nel rivedere la versione cache della pagina [Round Year Fun], abbiamo scoperto che era anche usato per distribuire il gioco per adulti di Maikspy“. In conclusione, è “possibile” che gli sviluppatori responsabili della circolazione del malware gestiscano il dominio del gioco. “Gli aggressori dietro Maikspy hanno cambiato domini e indirizzi IP nel corso degli anni, ma sono stati tutti trovati in un dominio Internet e una società di web hosting negli Stati Uniti“, hanno scritto i ricercatori.
Non è ancora chiaro quante vittime siano state attaccate con successo da tale malware Android. Gli utenti di Windows sono stati attaccati da un’estensione malevola di Chrome.