Nuova Botnet per Android colpisce l’Italia

 

Proto: N020216. 

Con la presente Yoroi desidera comunicarLe che è stata recentemente identificata una nuova epidemia di botnet che colpisce in particolar modo utenti italiani. La campagna di attacchi in oggetto utilizza una versione lievemente modificata di MazarBot per Android, già noto per altre attività simili su altri paesi. I terminali infettati da questa minaccia sono in grado di mettere in atto azioni di phishing, cancellare i dati e bloccare interamente l’accesso al telefono.

Il malware si sta diffondendo attraverso una pagina web particolarmente somigliante al Google Play Store che propone l’installazione di una versione falsificata del Browser Chrome.


Fig. 1 Pagina web contraffatta


La pagina, interamente tradotta in italiano, riproduce in tutto e per tutto quella originale e può ingannare gli utenti nell’accettare di eseguire l’installazione del malware.
Durante il processo di installazione MazarBot si finge un aggiornamento del Google Play Store ingannado così gli utenti che, credendo di installare un aggiornamento di Android, rischiano di non prestare sufficiente attenzione ai permessi richiesti.


Fig. 2 Permessi di installazione


Una volta installato infatti MazarBot è in grado di eseguire diverse operazioni sul telefono:

  • Controllare l’invio e la ricezione di messaggi e chiamate
  • Connettersi a reti e dispositivi
  • Monitorare le applicazioni presenti sul sistema
  • Bloccare/sbloccare completamente l’accesso al dispositivo
  • Cancellare i dati presenti sul dispositivo

Attraverso il monitoraggio delle applicazioni installate è in grado di rilevare l’avvio di applicazioni note e lanciare a sua volta azioni specifiche. Ad esempio, avviando Whatsapp MazarBot rileva l’esecuzione, si sovrappone al suo avvio e richiede le informazioni della carta di credito fingendosi il noto client di messaggistica.


Fig. 3 Tentativo di Phishing su WhatsApp


Un attaccante remoto è inoltre in grado di bloccare il dispositivo a piacere fingendo di eseguire aggiornamenti di sistema e rendendo il telefono utilizzabile soltanto avviandolo in Safe Mode.

Al fine di evitare la minaccia Yoroi suggerisce di porre particolare attenzione nella navigazione con dispositivi mobili, verificando sempre la provenienza delle pagine e controllando i permessi delle applicazioni che vengono installate nel terminale.

Yoroi suggerisce inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, di dotare le vostre organizzazioni di strumenti di sicurezza perimetrali opportuni e moderni come Next Generation Firewall, Next Generation IPS e IDS,e di avvalervi di servizi di verifica dello stato di sicurezza delle infrastrutture di rete come Vulnerability Assessment e Vulnerability Management al fine di ottenere una più completa visibilità fondamentale alla gestione del rischio intrinsecamente presente nell’utilizzo e nella pubblicazione di complessi servizi tecnologici.

Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index