Fate tutti attenzione ad Alien, il malware per Android che è nato come variante di Cerberus, il quale si era diffuso come trojan banking in Italia alla fine del 2020. Questa volta, però, il virus di diffonde in maniera più subdola, e lo fa mediante un sito internet malevolo che riproduce graficamente il portale ufficiale dell’app Immuni.
Il sito “hxxps://it-immuni[.]com/” è tutto in italiano, ha il regolare certificato SSL per aumentarne la credibilità e sfrutta il layout del sito ufficiale https://www.immuni.italia.it/ imitandone loghi e alcuni contenuti. Dunque, l’avviso è quello di controllare prima l’URL prima di scaricare l’app Immuni. Scaricare dall’app “immunti.italia.it” e non da “it.immuni.com”.
Android, Immuni: la minaccia è molto seria e agisce in background
Quindi, la minaccia si nasconde nell’app fake di Immuni per Android, che il sito che vi abbiamo detto prima suggerisce di scaricare. Se l’avete, purtroppo, scaricata e installata, vi chiederà l’autorizzazione per l’esecuzione in background, e così non vi accorgerete di tutte le azioni malevoli che sta effettuando.
Inoltre, nascondendosi un trojan bancario nel codice dell’app, è potenzialmente in grado di scaricare payload malevoli da server C&C.
Andando a vedere la situazione nel dettaglio, ecco la lista delle operazioni che possono essere eseguite ai danni della vittima:
- registrare le digitazioni da tastiera;
- installare TeamViewer per mantenere l’accesso da remoto al dispositivo;
- raccogliere, inviare o inoltrare SMS;
- sottrarre la lista dei contatti;
- inoltrare chiamate;
- installare e avviare altre app;
- aprire il browser e indirizzarlo su pagine specifiche;
- bloccare lo schermo;
- visualizzare le notifiche mostrate sul dispositivo;
- sottrarre codici 2FA generati da app di autenticazione.
- raccogliere dettagli sul dispositivo e la lista delle app;
- registrare dati di geo-localizzazione;
- effettuare richieste USSD;
Le raccomandazioni in merito che possiamo darvi è quello di verificare sempre i link che vi vengono inviati tramite posta, chat o social network. In particolar modo quando i mittenti non si conoscono, se il link appare in forma di pop-up o suggerito da altre app installate.