MobOk è un nuovo malware per Android scoperto da alcuni ricercatori di sicurezza Kaspersky all’interno di due finte app per il fotoritocco, Pink Camera e Pink Camera 2, regolarmente distribuite su Google Play.
Grazie alle sofisticate funzionalità di backdoor, MobOk consente ai criminal hacker di assumere il controllo quasi totale del dispositivo Android infetto, rubare i dati personali delle vittime e utilizzarli per iscriverli a loro insaputa a servizi in abbonamento.
Gli sviluppatori delle due finte applicazioni per il fotoritocco hanno inoltre aggiunto tecniche di evasione per ingannare eventuali software antimalware installati sui dispositivi mobile, nascondere le attività sospette ed evitarne quindi il rilevamento.
Indice degli argomenti
MobOk: come funziona il malware per Android
Terminata la procedura d’installazione sullo smartphone della vittima le finte applicazioni vengono avviate e, prima che gli utenti inizino a modificare le loro immagini, richiedono l’accesso alle notifiche e ai controlli della rete Wi-Fi: in realtà, l’accettazione da parte della vittima di questo permesso serve esclusivamente ad avviare l’attività dannosa in background del malware MobOk.
Una volta che lo smartphone della vittima è stato infettato, il malware MobOk inizia a raccogliere varie informazioni riservate sui dispositivi, primo fra tutti il numero di telefono, al fine di sfruttarle nelle fasi successive dell’attacco. Terminata la raccolta di dati in background, le applicazioni li inviano in background al server di controllo e comando (C2) controllato dai criminal hacker.
Nelle fasi successive dell’attacco, MobOk provvede a spegnere il Wi-Fi sul telefono dell’utente, attivando così i dati mobili per la connettività. Così facendo, gli aggressori sono in grado di attivare vari servizi a pagamento per conto della vittima e a sua completa insaputa. Utilizzando questo stratagemma, inoltre, gli addebiti per le sottoscrizioni degli abbonamenti vengono effettuati direttamente sulla bolletta telefonica dell’utente o sulla carta di credito abbinata al piano tariffario.
MobOk, in particolare, riesce ad aprire le pagine Web dei servizi in abbonamento che interessano ai criminal hacker agendo in background come un browser. Il malware utilizza quindi il numero di telefono precedentemente estratto per confermare la sottoscrizione dell’abbonamento.
Avendo ottenuto il pieno controllo del dispositivo grazie alle funzionalità di backdoor e il libero accesso alle notifiche, MobOk è in grado anche di intercettare il codice di conferma inviato via SMS e usarlo per completare la procedura di acquisto del servizio senza che la vittima si accorga di nulla.
I criminal hacker ideatori di MobOk hanno pensato anche al caso in cui la pagina di abbonamento fosse protetta da un codice CAPTCHA: il malware è infatti in grado di sfruttare il servizio online di riconoscimento immagini Chaojiying per inserire automaticamente il risultato nel relativo campo di controllo della pagina.
A questo punto, i criminal hacker non hanno dovuto fare altro che mettersi comodi ad incassare i proventi degli abbonamenti sottoscritti dalle inconsapevoli vittime, almeno fino a quando queste ultime non si sono accorte della truffa cancellando la sottoscrizione ai vari servizi non richiesti.
I consigli per difendersi
La capacità del malware MobOk di diffondersi sfruttando finte applicazioni regolarmente distribuite sull’app store di Google lo rende, di fatto, difficile da individuare. Le app usate da MobOk sono state, per il momento, rimosse dal Play Store dopo aver compromesso gli smartphone di circa 10.000 utenti. Ma i criminal hacker potrebbero ovviamente pubblicarne altre e continuare quindi a sfruttare la stessa tecnica di attacco per colpire ulteriori vittime.
Il primo consiglio per difendersi da questo tipo di minaccia è quindi quello di installare solo applicazioni conosciute e certificate. Potrebbe essere utile, in questo caso, verificare anche quanti altri utenti hanno già scaricato e installato l’app scelta: poche migliaia di installazioni potrebbero far scattare un primo campanello d’allarme.
È importante, inoltre, installare quando possibile eventuali aggiornamenti Android in modo da correggere eventuali vulnerabilità che potrebbero essere sfruttate dai criminal hacker per bypassare i sistemi di controllo e sicurezza installati sui dispositivi mobile.
Soprattutto in ambito aziendale e produttivo, infine, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
