Fate tutti attenzione ad Alien, il malware per Android che è nato come variante di Cerberus, il quale si era diffuso come trojan banking in Italia alla fine del 2020. Questa volta, però, il virus di diffonde in maniera più subdola, e lo fa mediante un sito internet malevolo che riproduce graficamente il portale ufficiale dell’app Immuni.
Il sito “hxxps://it-immuni[.]com/” è tutto in italiano, ha il regolare certificato SSL per aumentarne la credibilità e sfrutta il layout del sito ufficiale https://www.immuni.italia.it/ imitandone loghi e alcuni contenuti. Dunque, l’avviso è quello di controllare prima l’URL prima di scaricare l’app Immuni. Scaricare dall’app “immunti.italia.it” e non da “it.immuni.com”.
Quindi, la minaccia si nasconde nell’app fake di Immuni per Android, che il sito che vi abbiamo detto prima suggerisce di scaricare. Se l’avete, purtroppo, scaricata e installata, vi chiederà l’autorizzazione per l’esecuzione in background, e così non vi accorgerete di tutte le azioni malevoli che sta effettuando.
Inoltre, nascondendosi un trojan bancario nel codice dell’app, è potenzialmente in grado di scaricare payload malevoli da server C&C.
Andando a vedere la situazione nel dettaglio, ecco la lista delle operazioni che possono essere eseguite ai danni della vittima:
Le raccomandazioni in merito che possiamo darvi è quello di verificare sempre i link che vi vengono inviati tramite posta, chat o social network. In particolar modo quando i mittenti non si conoscono, se il link appare in forma di pop-up o suggerito da altre app installate.