Il nuovo malware “Alien” può rubare le password da 226 app Android tra cui tante app di banche italiane oltre che alle app di messaggistica come WhatsApp, Telegram, Facebook, Gmail e addirittura Amazon e Netflix.
La maggior parte degli obiettivi sono app bancarie, ma Alien può anche mostrare pagine di phishing per app social, di messaggistica istantanea e criptovaluta.
I ricercatori in tema di sicurezza del team ThreatFabric hanno scoperto e analizzato un nuovo ceppo di malware Android che viene fornito con una vasta gamma di funzionalità che consentono di rubare credenziali da 226 applicazioni.
Chiamato Alien, questo nuovo trojan è attivo dall’inizio dell’anno ed è stato offerto come offerta Malware-as-a-Service (MaaS) nei forum di hacking clandestini.
Secondo i ricercatori, Alien non è veramente un nuovo pezzo di codice, ma in realtà era basato sul codice sorgente di una banda di malware rivale chiamata Cerberus.
Cerberus, mentre era un MaaS attivo l’anno scorso, è fallito quest’anno, con il suo proprietario che ha cercato di vendere la sua base di codice e la base di clienti, prima di farla trapelare gratuitamente .
Questo malware si sarebbe estinto perché il team di sicurezza di Google ha trovato un modo per rilevare e pulire i dispositivi infetti. Ma anche se Alien fosse basato su una vecchia versione di Cerberus, Alien non sembra avere questo problema e il suo MaaS è intervenuto per riempire il vuoto lasciato dalla scomparsa di Cerberus.
E i ricercatori dicono che il malware Alien è ancora più avanzato di Cerberus
Alien fa parte di una nuova generazione di trojan bancari Android che hanno anche integrato funzionalità di accesso remoto nelle loro basi di codice.
Questo rende Alien una miscela pericolosa con cui essere infettati. Alien non solo può mostrare schermate di accesso false e raccogliere password per varie app e servizi, ma può anche garantire agli hacker l’accesso ai dispositivi per utilizzare tali credenziali o persino eseguire altre azioni.
Alien vanta le seguenti funzionalità
Può sovrapporre il contenuto ad altre app (funzione utilizzata per le credenziali di accesso di phishing)
Registra input da tastiera
Fornire l’accesso remoto a un dispositivo dopo l’installazione di un’istanza di TeamViewer
Raccogli, invia o inoltra messaggi SMS
Ruba l’elenco dei contatti
Raccogli i dettagli del dispositivo e gli elenchi di app
Raccogli i dati di geolocalizzazione
Fai richieste USSD
Inoltra le chiamate
Installa e avvia altre app
Avvia i browser sulle pagine desiderate
Blocca lo schermo per una funzionalità simile a un ransomware
Notifiche sniff visualizzate sul dispositivo
Ruba i codici 2FA generati dalle app di autenticazione
Questa è una serie impressionante di funzionalità. ThreatFabric afferma che questi vengono utilizzati principalmente per operazioni legate alle frodi, come la maggior parte dei trojan Android tendono ad essere in questi giorni, con gli hacker che prendono di mira gli account online, alla ricerca di denaro.
Durante la sua analisi, i ricercatori hanno affermato di aver scoperto che Alien supportava la visualizzazione di false pagine di accesso per altre 226 applicazioni Android
La maggior parte di queste pagine di login false aveva lo scopo di intercettare le credenziali per le app di e-banking, supportando chiaramente la sua valutazione secondo cui Alien era destinato a frode. Leggi alla fine la lista delle app secondo il rapporto predisposto da ThreatFabric.
Tuttavia, Alien ha preso di mira anche altre app, come e-mail, social, messaggistica istantanea e app di criptovaluta (ad esempio, Gmail, Facebook, Telegram, Twitter, Snapchat, WhatsApp, ecc.).
La maggior parte delle app bancarie prese di mira dagli sviluppatori Alien erano per istituzioni finanziarie con sede principalmente in Spagna, Turchia, Germania, Stati Uniti, Italia, Francia, Polonia, Australia e Regno Unito.
Cos’altro si sa sul malware Alien?
ThreatFabric non ha incluso dettagli su come Alien si fa strada sui dispositivi degli utenti, principalmente perché questo varia in base a come i clienti Alien MaaS (altri gruppi criminali) hanno scelto di distribuirlo.
“Molto sembra distribuito tramite siti di phishing, ad esempio pagine dannose che inducono le vittime a scaricare falsi aggiornamenti software o false app Corona”.
“Un altro metodo utilizzato è l’SMS, una volta che infettano un dispositivo raccolgono l’elenco dei contatti che poi riutilizzano per l’ulteriore diffusione della loro campagna di malware”, ha aggiunto.
Alcune app dannose vengono pubblicate sul Play Store, di tanto in tanto, ma la maggior parte delle volte vengono distribuite attraverso altri canali. Quindi se scarichi le app solo dal Play Store dovresti stare al sicuro. Ovviamente è opportuno non scaricare app e concedere le autorizzazioni come amministratore da dubbie fonti.
Tutte queste losche app contaminate dal malware Alien possono essere facilmente individuate poiché spesso richiedono agli utenti di concedere loro l’accesso a un utente amministratore o al servizio di accessibilità.
Questo è il modo in cui il malware funziona in generale, prendendo di mira gli utenti poco esperti e tecnici.
La lista delle principali app obiettivo del malware Alien
Vi riportiamo un estratto della lista di 226 app che è consultabile qui:
| Nome del pacchetto | Nome dell’app |
| com.coinbase.android | Coinbase – Buy & Sell Bitcoin. Crypto Wallet |
| piuk.blockchain.android | Blockchain Wallet. Bitcoin, Bitcoin Cash, Ethereum |
| it.copergmps.rt.pf.android.sp.bmps | Banca MPS |
| com.google.android.gm | Gmail |
| com.mail.mobile.android.mail | mail.com mail |
| it.bnl.apps.banking | BNL |
| it.ingdirect.app | ING Italia |
| com.yahoo.mobile.client.android.mail | Yahoo Mail – Organized Email |
| com.db.pbc.miabanca | La Mia Banca |
| com.unicredit | Mobile Banking UniCredit |
| it.popso.scrignoapp | Scrigno App – Banca Popolare di Sondrio |
| com.microsoft.office.outlook | Microsoft Outlook: Organize Your Email & Calendar |
| it.nogood.container | UBI Banca |
| com.latuabancaperandroid | Intesa Sanpaolo Mobile |
| posteitaliane.posteapp.apppostepay | Postepay |
| com.android.vending | Google Play |
| com.facebook.katana | |
| com.whatsapp | WhatsApp Messenger |
| com.snapchat.android | Snapchat |
| com.twitter.android | |
| org.telegram.messenger | Telegram |
| com.instagram.android | |
| com.viber.voip | Viber Messenger – Messages, Group Chats & Calls |
| com.ebay.mobile | eBay: Buy, sell, and save money on home essentials |
| com.amazon.mshop.android.shopping | – |
| wit.android.bcpbankingapp.millenniumpl | – |
| com.netflix.mediaclient | Netflix |
| it.carige | Carige Mobile |
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video
Scarica la nostra App
