skip to Main Content

Cybercrime, Italia ancora nel mirino con INPS e coronavirus

Il CERT-AgID: Il cybercrime prende ancora di mira l’Italia con la campagna legata all’INPS e al coronavirus. Nuovo dominio per la diffusione del malware APK per Android, legato a falsi rimborsi delle indennità COVID-19 e a un falso sito dell’Istituto

La campagna malspam del cybercrime in Italia, che sfrutta i rimborsi INPS per il coronavirus si evolve. In base a quanto hanno scoperto gli esperti di cyber security del CERT-AgID, le attività sono state riprese tramite un nuovo dominio “comunicazioneinps[.]top” creato appositamente in data 05/06/2020. Anche in questo caso al click sul link per visualizzare “La domanda per la nuova indennità COVID-19”, viene scaricato un file APK malevolo, di tipo Trojan Banker, per dispositivi Android. Lo stesso sample, peraltro, riporta importanti similitudini con lil malware relativo alla campagna odierna perpetrata ai danni di utenti Amazon italiani.

Come funzionano la campagna e il malware secondo gli esperti di cyber security

Secondo gli esperti di cyber security, che hanno analizzato anche la precedente campagna malspam su INPS e coronavirus, il cybercrime ha creato una pagina clone del sito web dell’Istituto. Al suo interno, si propone il download di una fantomatica “domanda per la nuova indennità COVID-19”, che in realtà restituisce è un malware APK destinato a utenti Android. Da una prima analisi, una volta installato il file “acrobatreader.apk” sul dispositivo (un Trojan bancario con capacità di osservare e tracciare le azioni compiute dall’utente), vengono proposte le istruzioni per abilitare il servizio di accessibilità. Ciò al fine di sfruttare le legittime funzioni di tale servizio e quindi consentire al codice malevolo un accesso più ampio alle API di sistema per dialogare con altre app presenti sul dispositivo.

Back To Top