Sono state identificate le tracce di una possibile campagna adware condotta mediante un nuovo malware per Android in grado di propagarsi automaticamente attraverso messaggi WhatsApp ai contatti, presenti nella rubrica della vittima, che scrivono o rispondono alle chat.
Il malware, identificato dal ricercatore di sicurezza Lukas Stefanko e a cui al momento non è ancora stato dato un nome, è in grado di rispondere automaticamente a qualsiasi notifica di messaggio WhatsApp ricevuto dalla vittima, inviando quindi al contatto un link ad una falsa app chiamata Huawei Mobile.
Indice degli argomenti
La catena infettiva del malware
Nel momento in cui il contatto, tratto in inganno dalla provenienza “sicura” del messaggio, si collega all’indirizzo indicato, viene reindirizzato verso un sito Web che richiama in tutto e per tutto quello ufficiale del Google Play Store.
Una volta installata, l’app di tipo wormable (cioè in grado di autoreplicarsi) richiede alla nuova vittima il permesso di accesso alle notifiche di sistema che poi sfrutterà proprio per propagare la campagna malevola: sarà infatti in grado di rispondere in automatico a tutte le notifiche ricevute dalla vittima con una copia del messaggio contenente il link al sito malevolo.
È importante sottolineare, inoltre, che il contenuto del messaggio e il link all’app vengono recuperati da un server remoto, per cui possono cambiare di volta in volta. Ciò lascia supporre che il malware possa essere utilizzato in futuro per distribuire link ad altri siti web malevoli e app dannose.
Così il malware si diffonde via messaggi WhatsApp
Il malware, in particolare, è in grado di sfruttare la funzione di risposta rapida di WhatsApp che consente di rispondere ai messaggi in arrivo direttamente dalle notifiche (toccando la voce Rispondi nella notifica stessa, ma il malware riesce a farlo in automatico).
Oltre a richiedere i permessi per leggere le notifiche, l’app malevola è configurata in modo da funzionare in background in modo da non dare modo alla vittima di accorgersi del suo funzionamento.
Secondo il ricercatore ESET, inoltre, la versione attuale del malware è in grado di inviare risposte automatiche solo ai contatti WhatsApp. Non è escluso che questa caratteristica possa essere estesa in un futuro aggiornamento anche ad altre app di messaggistica istantanea che supportano la funzionalità di risposta rapida di Android direttamente dalle notifiche.
A rischio credenziali di accesso e dati bancari
Inoltre, il nuovo malware che si diffonde via messaggi WhatsApp è anche capace di sovrapporre in maniera “trasparente” una propria finestra a quella di qualsiasi altra applicazione in esecuzione sul dispositivo.
Si tratta di un escamotage che può essere sfruttato dai criminal hacker anche per rubare credenziali di accesso, dati bancari e altre informazioni sensibili che l’utente pensa di inserire nei form delle app ufficiali mentre invece li sta digitando all’interno dell’app malevola.
Come difendersi dalla nuova minaccia
Al momento, non è stato ancora possibile individuare il meccanismo con cui il nuovo malware per Android che si diffonde via messaggi WhatsApp riesca ad infettare la prima vittima della sua catena infettiva.
Probabilmente, ciò potrebbe avvenire attraverso massive campagne di social engineering, via SMS o mediante una più classica campagna di phishing via WhatsApp.
Quel che è certo è che la caratteristica wormable potrebbe consentire al nuovo malware di propagarsi molto rapidamente su numerosi dispositivi Android.
Secondo Samuele Zaniboni, Senior Pre-sales Engineer di ESET Italia, “questo malware è quello che potrebbe essere un vero e proprio worm per Android e che potrebbe avere un impatto importante (auto-replicazione per andare a creare potenziali botnet di device compromessi) in un ambiente che spesso non è protetto da un endpoint protection e dove la security diventa importante tanto quello di un computer aziendale. Installiamo un antivirus, una suite di endpoint protection sul computer di casa o aziendale, ma non ci preoccupiamo (troppo spesso) di proteggere i nostri smartphone che contengono generalmente tutta la nostra vita digitale”.
Per difendersi è dunque utile attenersi ad alcune semplici regole di sicurezza informatica:
- innanzitutto, è essenziale usare solo fonti attendibili per scaricare app di terze parti;
- occorre quindi verificare se un’app è stata realizzata da uno sviluppatore “certificato” e garantito;
- importante, infine, controllare sempre attentamente le autorizzazioni delle app prima di procedere con l’installazione.
Infine, occorre prestare sempre la massima attenzione quando si ricevono messaggi contenenti link sospetti o richieste di download, anche se provengono da contatti fidati e memorizzati nella nostra rubrica. Come abbiamo visto, i criminal hacker riescono infatti a trovare anche il modo di sfruttare la fiducia che abbiamo nei confronti dei nostri contatti WhatsApp per rendere vane anche le contromisure appena analizzate.
