Report 3° trimestre 2022 sulle minacce informatiche. I malware per Android

Il report trimestrale fornisce una panoramica dei rischi informatici più pericolosi e diffusi nel 3° trimestre 2022. Si divide in due sezioni, una per Windows e una per Android. Presenta statistiche di individuazione, i ransomware più pericolosi, la top 10 degli exploit per Windows, la top 10 dei malware e PUA ecc..

Nel corso del 3° trimestre 2022 sono stati individuati 20.200 malware per Android, una media di 222 al giorno. Adware e PUA (Potentially Unwanted Application): il 65% delle minacce per Android individuate sono stati malware. 

In questo articolo tratteremo le principali minacce individuate contro Android. Il report completo è disponibile a questo link: https://bit.ly/3haHfLL

Nell’immagine sotto le tipologie di minacce individuate nel 3° trimestre 2022: il 65% sono stati malware, il 17% adware e il 18% PUA

• Livello di Rischio: alto
• Categoria: malware
• Metodo di propagazione: app store di terze parti.
• Comportamento:
  – è un malware trojan-dropper: scarica file dannosi in background;
  – si “traveste” da app “legittima” solitamente di messaggistica o per le impostazioni del dispositivo;
  – al primo avvio, nasconde la propria presenza e scarica un payload criptato;
  – il payload criptato è un SDK che mostra continuamente ads a tutto schermo.

• Livello di Rischio: basso
• Categoria: PUA
• Metodo di propagazione: app store di terze parti
• Comportamento:
  – queste app sono versioni modificate di Whatsapp, conosciute come WhatsappGB;
  – queste app non sono presenti nel Google Play Store;
  – presentano funzionalità aggiuntive come doppia risposta automatica, riavvio di Whatsapp, programmazione dei messaggi ecc… ma non vi sono funzioni di sicurezza;
  – Whatsapp ha già emesso più alert sul problema di app non ufficiali sviluppate da terze parti e su come questi violino i suoi termini di servizio.

• Livello di Rischio: medio
• Categoria: PUA
• Comportamento:
  – queste app sono spyware;
  – accedono a contatti, SMS, dati archiviati;
  – questi dati sono raccolti e usati per truffare gli utenti.Metodo di propagazione: app store di terze parti

1. Individuati nel Google Play Store 14 malware auto-eseguenti : avevano 6 milioni di download
I Quick Heal Security Labs hanno individuato e segnalato a Google la presenza, nel Play Store, di 14 app dannose: nascondono il malware HiddAd. Queste app generano profitti per gli autori dei malware e sono molto difficili da disinstallare perché nascondono l’icona dell’app e agiscono in background. HiddAD è il nome malware con cui i Quick Heal Security Labs indviduano queste app. 

2. I trojan bancari colpiscono ancora
Recentemente abbiano analizzato molti trojan bancari per sistemi Android

• trojan SOVA: è un trojan bancario per Android con molteplici funzionalità di furto dati: registra le battiture sulla tastiera, può fare screenshot e rubare credenziali di accesso agli account. Non solo: ha funzionalità specifiche per intercettare l’autenticazione a due fattori, per rubare i cookie e ha anche capacità di eseguire attacchi di injection. Nasconde inoltre le notifiche e può sostituire gli indirizzi dei wallet di criptovaluta salvati negli appunti. Quick Heal individua queste varianti come “Android.Agent.A”, “Android.ScytheSCF.QJ”, “Android.HqwarSCF.EH”
• DawDopper è un trojan bancario per il furto di credenziali di accesso bancarie. Intercetta le comunicazioni e ottiene il controllo completo del dispositivo. Usa Firebase Realtime Database per scaricare i payload: i payload dannosi sono ospitati su GitHub. DawDropper può scaricare 4 diversi tipi di trojan bancari: Octo, Hydra, Ermac e TeaBot. Questi possono:- attaccare molteplici app bancarie, emulandone la schermata di login per rubare i dati;- rubare credenziali di login, informazioni delle carte di credito, password, email;- inviare, intercettare, nascondere SMS;- abilitare funzionalità di keylogging.- Quick Heal individua questa minaccia come “Android.Banker”. v

---

Hai bisogno di proteggere il tuo dispositivo Android da attacchi malware?