Dobbiamo fare molta attenzione oggi 6 dicembre a nuove app pericolose per modelli Huawei, Samsung Galaxy e Xiaomi. Più in generale, con Android. Dunque, attenzione ad un nuovo malware che sfrutta l’app Immuni per ingannare i vari utenti, per fortuna immediatamente scovato dagli uomini di Cert-AgID in collaborazione con D3Lab. E’ stato possibile notare come alcuni hacker siano stati in grado di creare un sito che produce in modo fraudolento il repository di Google Play Store. Discorso, in sostanza, da abbinare a quello del mese scorso.
Questo sito riesce a diffondere la stessa applicazione malevola attraverso pagine che all’apparenza sono praticamente identiche a quelle reali e purtroppo ce n’è una che fa leva sull’app Immuni. Ne ha parlato anche il sito del governo. Si tratta del dominio play[.]goooogle[.]services che è stato registrato appena otto giorni fa e, come solitamente accade per le campagne di phishing, fa leva sui certificati Let’s Encrypt, emessi gratuitamente.
Chiaramente non è stata solo l’applicazione Immuni ad essere al centro di questo nuovo malware per Android, ma su tale dominio è possibile riscontrare numerose applicazioni fake di ambito bancario come eBay, PayPal, Credem, Amazon, Intesa SanPaolo e InBank. Più nel dettaglio i nomi delle app pericolose considerate fasulle soprattutto per modelli Huawei, Samsung e Xiaomi sono: Amazon Shopping-Search, Find, Ship, and Save-Apps on Google Play files/; Credem-Apps on Google Play files/;Immuni-Apps on Google Play files/; InBank-Apps on Google Play files/; Intesa Sanpaolo Inbiz-App su Google Play files/; Intesa Sanpaolo Mobile-App su Google Play files/; PayPal Business Send Invoices and Track Sales-Apps on Google Play files/; PayPal Mobile Cash Send and Request Money Fast- Apps on Google Play files/; eBay Fai Shopping e Trova Sconti su Ogni Articolo- App su Google Play files.
app pericolose
Queste sono le applicazioni considerati fraudolente e quindi da dover assolutamente cancellare dal proprio dispositivo. Per quel che riguarda Immuni, la versione fake, si presenta come se fosse un’applicazione di Intesa SanPaolo ed inizia ad effettuare traffico sulla porta 80 verso il dominio soofoodoo[.]club associato al seguente IP: 185.156.172[.]69.
L’applicativo è senza dubbio un derivato di Anubis, come la maggior parte dei MaaS per Android. Come Anubis, le funzioni dell’app sono cifrate con RC4 dentro una risorsa dell’APK. Nonostante non sia stata effettuata un’analisi specifica, le prime verifiche confermano molti punti in comune tra questo malware e Anubis, incluso l’uso di un Accessibility service ed il download di un APK aggiuntivo dal C2. Occhio dunque alle nuove app pericolose per Huawei, Xiaomi e Samsung Galaxy.
Ci segnalano i nostri contatti una salva di post su FB (uno archiviato qui) secondo cui la Russia ha donato…
Venticinque anni fa finiva l'avventura del SEGA Dreamcast. Venticinque anni fa, abbiamo già visto, convenzionalmente si chiudeva l'intera era del…
Ci segnalano i nostri contatti il proliferare di una tipologia particolare di fotoromanzi social, legata al filone delle Figlie dei…
Ci segnalano i nsotri contatti una serie di post che dovrebbero essere dell'autista denunciato per aver lasciato un bambino fuori…
Ci segnalano i nostri contatti un account Facebook riportante il Q simbolo dei QAnon che dichiara Alex Pretti un predatore…
Ci segnalano i contatti la storia di un Cittadino Argentino che boicotta le uova, apparsa su Instagram recentemente ma che…