Cestiniamo quasi 30 app pericolose a Natale per Huawei, Samsung e Xiaomi: lista e grafico
Dobbiamo fare molta attenzione oggi 6 dicembre a nuove app pericolose per modelli Huawei, Samsung Galaxy e Xiaomi. Più in generale, con Android. Dunque, attenzione ad un nuovo malware che sfrutta l’app Immuni per ingannare i vari utenti, per fortuna immediatamente scovato dagli uomini di Cert-AgID in collaborazione con D3Lab. E’ stato possibile notare come alcuni hacker siano stati in grado di creare un sito che produce in modo fraudolento il repository di Google Play Store. Discorso, in sostanza, da abbinare a quello del mese scorso.
Questo sito riesce a diffondere la stessa applicazione malevola attraverso pagine che all’apparenza sono praticamente identiche a quelle reali e purtroppo ce n’è una che fa leva sull’app Immuni. Ne ha parlato anche il sito del governo. Si tratta del dominio play[.]goooogle[.]services che è stato registrato appena otto giorni fa e, come solitamente accade per le campagne di phishing, fa leva sui certificati Let’s Encrypt, emessi gratuitamente.
La lista delle app pericolose per Huawei, Xiaomi e Samsung Galaxy
Chiaramente non è stata solo l’applicazione Immuni ad essere al centro di questo nuovo malware per Android, ma su tale dominio è possibile riscontrare numerose applicazioni fake di ambito bancario come eBay, PayPal, Credem, Amazon, Intesa SanPaolo e InBank. Più nel dettaglio i nomi delle app pericolose considerate fasulle soprattutto per modelli Huawei, Samsung e Xiaomi sono: Amazon Shopping-Search, Find, Ship, and Save-Apps on Google Play files/; Credem-Apps on Google Play files/;Immuni-Apps on Google Play files/; InBank-Apps on Google Play files/; Intesa Sanpaolo Inbiz-App su Google Play files/; Intesa Sanpaolo Mobile-App su Google Play files/; PayPal Business Send Invoices and Track Sales-Apps on Google Play files/; PayPal Mobile Cash Send and Request Money Fast- Apps on Google Play files/; eBay Fai Shopping e Trova Sconti su Ogni Articolo- App su Google Play files.
Queste sono le applicazioni considerati fraudolente e quindi da dover assolutamente cancellare dal proprio dispositivo. Per quel che riguarda Immuni, la versione fake, si presenta come se fosse un’applicazione di Intesa SanPaolo ed inizia ad effettuare traffico sulla porta 80 verso il dominio soofoodoo[.]club associato al seguente IP: 185.156.172[.]69.
L’applicativo è senza dubbio un derivato di Anubis, come la maggior parte dei MaaS per Android. Come Anubis, le funzioni dell’app sono cifrate con RC4 dentro una risorsa dell’APK. Nonostante non sia stata effettuata un’analisi specifica, le prime verifiche confermano molti punti in comune tra questo malware e Anubis, incluso l’uso di un Accessibility service ed il download di un APK aggiuntivo dal C2. Occhio dunque alle nuove app pericolose per Huawei, Xiaomi e Samsung Galaxy.
Se il nostro servizio ti piace sostienici su PATREON o
con una donazione PAYPAL.