Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

In diffusione software spia per gli utenti TRE in Italia.
- LUNEDÌ 11 DICEMBRE 2017


E’ stata rilasciata sugli app store Android un'app fake pensata appositamente per utenti italiani della società di telecomunicazioni TRE Italia.  "3Mobile Updater", questo il nome della app che a prima vista sembra un comune update, in realtà non è altro che un malware. L'app infatti appare molto molto simile all'app ufficiale usata da TRE per l'update del sistema operativo mobile. 
 
Come si diffonde:
Quando un utente fa click sull'icona del 3 Mobile Updater, l'app mostra una schermata (vedi sotto)

L'alert reca il seguente testo (in inglese)
“Caro cliente stiamo aggiornando la tua configurazione, sarà pronta il prima possibile”.

In realtà in questa fase, l'app non sta aggiornando il dispositivo, ma raccogliendone le informazioni generali. Il messaggio serve a convincere l'utente a non interrompere l'infezione del dispositivo, convincendolo che l'update di sistema richieda un certo lasso di tempo. In realtà l'app esegue comunicazioni periodiche e riceve comandi dal server di C&C (Command and Control).

Che cosa fa? Un'analisi comportamentale
L'app principalmente ha lo scopo di sottrarre informazioni. Lo fa cercando di ottenere un lunghissimo numero di permissioni, per accedere a svariati tipi di fonti informative.  La quasi totalità delle funzioni dannose del malware avviene in background: l'utente ha una sola interazione col malware, ricevendo l'avviso sopra mostrato. L'utente quindi non riceverà nessun avviso sull'attività del malware: un meccanismo pensato appositamente per non insospettire la vittima. 

La lista delle fonti  dalle quale è in grado di attingere informazioni è lunga, non solo rubrica, SMS e registro chiamate, ma anche tutti i più vari social networks: Whatsapp, Instagram, Snapchat, Telegram, Line, Viber, Skype; è in grado di accedere a microfono e fotocamera, scattare foto e registrare audio.

Questo è l'elenco delle permissioni che il malware richiede:
  • android.permission.READ_CALENDAR
  • android.permission.ACCESS_COARSE_LOCATION
  • com.android.browser.permission.READ_HISTORY_BOOKMARKS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.CAMERA
  • android.permission.RECORD_AUDIO
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.GET_TASKS
  • android.permission.READ_SMS
  • android.permission.INTERNET
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.READ_CALL_LOG
  • android.permission.READ_CONTACTS
  • android.permission.READ_PHONE_STATE
  • android.permission.INSTALL_PACKAGES
  • com.sysmanager.permission.C2D_MESSAGE
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.GET_ACCOUNTS
  • android.permission.CHANGE_NETWORK_STATE
  • android.permission.WAKE_LOCK
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.ACCESS_NETWORK_STATE
  • com.google.android.c2dm.permission.RECEIVE
Le informazioni, prima salvate sul dispositivo stesso vengono poi caricate sul server Command and Control.

Che cosa fa? Un'analisi tecnica
Il codice è scritto in italiano: il malware quindi sembra pensato da cyber-attaccanti italiani per utenti italiani. E' difficile però comprendere a tutto tondo le funzionalità del malware, per il fatto che alcune parti di codice sembrano essere comprensibili solo allo sviluppatore del malware, non avendo significato e valore tecnico universale: ad esempio è impossibile capire a che funzioni rimandino certi messaggi come "Licenza non attiva", "Server Abilitata", "verifica PEM: inzio verifica". 


La presenza ricorrente, nel codice, della parola "TEST" fa presupporre che l'app sia un test, un prototipo in fase di sviluppo: l'app dimostra già, tuttavia, un'alta capacità di rubare le informazioni rispetto a moltissimi altri stealer già in diffusione.  La cosa più allarmante è che solitamente questo tipo di malware viene diffusa tramite email o SMS, in questo caso invece è stata caricata su uno store ufficiale. 



Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 15 GENNAIO 2018
File Infector: una minaccia costante
Il 2017 è stato l'anno dei ransomware e dei miner di criptovaluta, ma i file infector continuano ad essere una minaccia significativa per gli utenti.Nel 2017, abbiamo oss...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e documentazione
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Versioni di prova
Supporto
Contratto EULA.
Download Upgrade


S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2018 nwk - Privacy Policy - Login