Alien, il malware per Android nato come sofisticata variante del famigerato Cerberus e che già si era diffuso in Italia sottoforma di banking trojan alla fine dello scorso anno, torna a colpire il nostro Paese: ma questa volta lo fa in maniera più subdola, diffondendosi attraverso un sito Internet malevolo che riproduce graficamente il portale ufficiale dell’app Immuni e quindi sfruttando il tema “Covid-19” e la popolarità dell’app di contact tracing.
Indice degli argomenti
Malware Alien: i dettagli del sito che riproduce il portale di Immuni
Il sito “hxxps://it-immuni[.]com/” è interamente in italiano, provvisto di regolare certificato SSL per aumentarne la credibilità e sfrutta il layout del sito ufficiale https://www.immuni.italia.it/ imitandone loghi e parte dei contenuti. Quindi, prima di scaricare l’app Immuni da un sito web bisogna controllare l’URL: quello autentico è “immuni.italia.it”, mentre il sito da evitare è “it.immuni.com”.
La minaccia si nasconde nell’app fake di “Immuni” per Android (“immuni.apk”), che il sito suggerisce di scaricare. Se installata e avviata, richiederà all’utente l’autorizzazione all’esecuzione in background e l’utente non potrà accorgersi di tutte le azioni malevole apportate dall’app.
Si ricorda che Alien, come il suo predecessore Cerberus, è un Malware-as-a-Service (MaaS) che quindi consente a chiunque di “noleggiare” i suoi servizi per costruire il proprio payload e configurare, comandare e controllare tutti i dispositivi infettati da esso.
In particolare, la lista delle operazioni che possono essere eseguite ai danni delle vittime comprende:
- registrare le digitazioni da tastiera;
- installare TeamViewer per mantenere l’accesso da remoto al dispositivo;
- raccogliere, inviare o inoltrare SMS;
- sottrarre la lista dei contatti;
- raccogliere dettagli sul dispositivo e la lista delle app;
- registrare dati di geo-localizzazione;
- effettuare richieste USSD;
- inoltrare chiamate;
- installare e avviare altre app;
- aprire il browser e indirizzarlo su pagine specifiche;
- bloccare lo schermo;
- visualizzare le notifiche mostrate sul dispositivo;
- sottrarre codici 2FA generati da app di autenticazione.
I ricercatori del Malware Hunter Team (MHT) che per primi hanno identificato la nuova variante del malware e il sito malevolo hanno condiviso con il CERT-AgID il sample malevolo, fornendo anche i dettagli dei Command & Control (C2) che il malware contatta per istruzioni su come operare e cosa fare:
- chujwdupepolicji[.xyz
- wykurwyzpolicji[.xyz
- ziobrotykurwo[.xyz
- przestanmialienaprzesladowac[.xyz
- dreamdime[.top
- oldgoodshoe[.top
- blackdreamz[.topcontattati dal malware.
Il CERT-AgID avviando le indagini sul sample a partire dal 17 gennaio con il contributo di D3Lab, ha individuato i domini che ospitavano la fake app. Un lavoro di squadra, quindi, partito dalla comunità italiana e proseguito con le attività del CERT-AgID e le segnalazioni del CSIRT nazionale.
Le azioni consigliate per mitigare i rischi
Le raccomandazioni fornite dal CSIRT italiano invitano ad azioni di verifica puntuale di ogni link che a mezzo posta, chat o social possa essere ricevuto dagli utenti, soprattutto se non si conoscono i mittenti o se il link appare in forma di popup o suggerito da altre applicazioni installate.
Inoltre, è buona regola accertarsi di scaricare applicazioni soltanto dagli store ufficiali, verificando possibilmente nelle recensioni la genuinità dello stesso e limitando le autorizzazioni concesse alle applicazioni.
Un ultimo suggerimento riguarda anche la continua attenzione da parte dell’utente finale per i permessi richiesti dall’app in fase di installazione per individuare richieste fuori luogo, improprie, o troppo “invadenti”.
All’interno dell’avviso fornito dal CSIRT anche la lista degli Indicatori di compromissione (in formato TXT) che si possono scaricare e che è caldamente consigliato implementare sui propri apparati di sicurezza.
Come difendersi da Alien e dai Malware-as-a-Service
Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmegeddon, sottolinea come si ritrovi una vecchia conoscenza del panorama dei malware di tipo finanziario per Android, che per l’occasione si è adattata perfettamente al difficile contesto attuale, utilizzando un meccanismo di distribuzione che simula Immuni.
Curiosamente questo meccanismo non rappresenta una novità per il malware dal momento che anche al tempo della sua iniziale scoperta (gennaio 2020) una delle tecniche di distribuzione utilizzava una falsa applicazione in tema con la COVID-19. Con questa nuova variante, gli attaccanti hanno compiuto un salto di qualità adattando il malware al contesto italiano, ma d’altronde questo è uno dei vantaggi dei Malware-as-a-Service (MaaS).
Ancora secondo Passeri, “assieme a Joker (un altro malware mobile caratterizzato da una forte persistenza nel dispositivo compromesso), Alien rappresenta la principale minaccia per i possessori di dispositivi Android grazie alla sua versatilità, ovvero la possibilità di poter essere utilizzato per diversi scopi malevoli, dovuta ai molteplici vettori di attacco di cui dispone”.
“Oltre alle caratteristiche tipiche dei malware Android che prevedono ad esempio l’accesso ai dati del dispositivo, ai contatti, alla lista chiamate ed SMS”, continua Passeri, “Alien dispone di caratteristiche avanzate quali il controllo remoto, mediante l’abuso della nota applicazione TeamViewer, la possibilità di installare applicazioni, di effettuare attacchi di tipo overlay (ovvero sovrapporre le proprie finestre sopra altre applicazioni), di intercettare le notifiche e rubare i codici di autenticazione a 2 fattori (2FA) da applicazioni quali Google Authenticator e addirittura una lista (estensibile) di oltre 200 applicazioni da cui il malware può rubare le credenziali”.
Secondo Passeri, quindi, “per difendersi la precauzione principale è quella di non scaricare applicazioni al di fuori dai canali ufficiali ed è buona norma controllare sempre i permessi durante l’installazione dell’app, due semplici contromisure che troppi utenti trascurano del tutto. Nel caso specifico Alien richiede, tra i vari permessi, di poter osservare le azioni utente, ricevendo notifiche quando quest’ultimo interagisce con una app, di poter catturare il contenuto della finestra su cui l’utente e attivo, ed infine di poter cambiare l’app di default per i messaggi SMS. Ovviamente questi sono tutti permessi che suonano alquanto sospetti per una app di tracciamento contagi e che non devono assolutamente essere concessi, rimuovendo subito l’app che li richiede”.