skip to Main Content

Cybercrime, INPS esca per diffondere Anubis su Android

Cybercrime, INPS Esca Per Diffondere Anubis Su Android

D3Lab: Il cybercrime usa INPS come esca per diffondere malware su Android via SMS e QR code

Il cybercrime usa INPS come esca per diffondere in Italia malware su Android via SMS. Lo ha denunciato l’Istituto in un Tweet, in cui sottolinea che si sono verificati sospetti tentativi di richiesta di dati sensibili, attraverso l’invio di messaggi, che invitano gli utenti a cliccare su un link e a scaricare un’app malevola. A proposito, si sottolinea che i messaggi NON sono inviati da INPS. La campagna, scoperta dai ricercatori di cyber security di D3Lab, si appoggia al dominio inps-informa.online, palesemente falso. La homepage contiene un link per il download di una fantomatica applicazione per richiedere un bonus in denaro. Questa, invece, se installata è in grado di infettare il telefono. Peraltro, i criminal hacker usano anche il QR code per rimandare le vittime potenziali al link per il download dell’applicazione.

Gli esperti di cyber security del CERT-PA: L’app malevola è un derivato di Anubis

Gli esperti di cyber security del CERT-PA hanno analizzato l’app malevola legata a INPS e scoperto che è un derivato del malware Anubis. Questo è così molto usato dal cybercrime per infettare i dispositivi Android, tanto che è stato impiegato anche in precedenti campagne FTCODE, con cui condivide buona parte delle funzionalità. In particolare il malware cerca di indurre l’utente a installare un servizio di accessibilità con il quale è in grado di leggere il contenuto dello schermo, fungendo da keylogger, e di simulare eventi di input (tocchi) per la dismissione di finestre di warning e l’elevazione ad applicazione Device Admin. Inoltre è in grado di leggere gli SMS e occultare gli quelli ricevuti per carpire i pin 2FA; mutare tutti i volumi del cellulare e bloccare lo schermo come forma di riscatto; esfiltrare informazioni come numero di telefono, operatore e modello di cellulare, disinstallare applicazioni; mostrare pagine di phishing all’apertura di determinate applicazioni (di home banking, IM e client e-mail); impedire la propria disinstallazione (chiudendo la finestra di sistema ogni volta che ci si prova). 

La struttura del malware

La struttura del malware su INPS è quella tipica di Anubis: un file DEX cifrato in RC4 contenuto tra gli asset, stringhe codificate in un unica classe e la possibilità di download di APK aggiuntivi. Gli esperti di cyber dsecurity sottolineano anche che la coordinazione tra i vari componenti avviene tramite un file di configurazione (Shared Preferences in gergo Android). Inoltre, l’applicazione del cybercrime (per i payload osservati dal CERT-PA) non utilizza exploit per l’elevazione a root, per cui è di facile rimozione con strumenti tipo ADB.

Back To Top