Milano – 24 febbraio 2014. Panda Security, The Cloud Security Company, ha rilevato un nuovo attacco rivolto agli utenti Android. Si tratta di una campagna molto elaborata che nasce su Facebook con messaggi pubblicitari inseriti dai cyber criminali per sponsorizzare una serie di applicazioni pericolose. Panda Security ha allertato Facebook della situazione.
Applicazioni Trojan
Quando l’utente accede a Facebook dal proprio dispositivo Android, visualizzerà numerosi “Post Sponsorizzati”, che pubblicizzano alcuni trucchi di WhatsApp quali: “Vuoi visualizzare le conversazioni dei tuoi contatti su WhatsApp? Scopri come!” oppure “Vuoi nascondere lo stato della tua connessione di WhatsApp? Scarica questa app, così nessuno potrà vederti”. Se l’utente clicca su una di queste pubblicità, verrà ricondotto a una versione fittizia di Google Play, l’app store di Android. L’utente, credendo di essere sullo shop originale, scaricherà l’applicazione gratuita, che in realtà è un Trojan, il quale procederà a iscriverlo a un servizio SMS Premium in abbonamento.
“In questa campagna i cyber criminali hanno sfruttato le opzioni di pubblicità sponsorizzata di Facebook, al momento visibile solo dagli utenti spagnoli che accedono al social network da un dispositivo Android. Abbiamo effettuato alcuni test dal medesimo account, entrando da un PC, un iPad, un iPhone e un device Android e solo con quest’ultimo abbiamo visualizzato gli annunci,” spiega Luis Corrons, direttore tecnico dei laboratori di Panda Security.
Il Trojan controlla tutti i messaggi ricevuti sul dispositivo e se il mittente è il servizio di SMS Premium, il messaggio verrà intercettato ed eliminato in modo tale che l’utente non si accorga di nulla. Questa tecnica non funziona con la versione 4.4 (KitKat) di Android, quindi gli autori sfruttano un trucco ingegnoso per superare questo ostacolo: quando il messaggio viene ricevuto, il telefono viene messo in modalità silenziosa per due secondi e il messaggio in entrata viene indicato come già letto. L’app include un contatore di SMS, in questo modo quando il primo messaggio viene ricevuto dal servizio Premium, è in grado di leggerlo per ottenere il PIN di conferma e registrare l’utente sul relativo sito per l’attivazione.
Il Trojan inoltre elimina tutti i messaggi ricevuti dal numero 22365, associato a un servizio simile offerto da un’azienda apparentemente estranea all’attacco. Tutto questo suggerisce un piano progettato per proteggersi da uno specifico concorrente: se un altro Trojan provasse a registrarsi a un servizio SMS, non sarebbe in grado di accedere al messaggio di conferma e di conseguenza di recuperare il codice di attivazione.
I cyber criminali non stanno utilizzando solo WhatsApp come esca, ma altri contenuti di interesse per gli utenti, come “video interessanti”, trucchi di Candy Crash Saga, di Angry Birds, etc.
Grazie a Panda Mobile Security 1.1 e alla funzionalità “Privacy Auditor” queste applicazioni pericolose verranno classificate nella categoria “Cost Money”, dalla quale è possibile rimuoverle facilmente.
Non tutte le app incluse in questa categoria sono rischiose, tuttavia qualsiasi app con permesso di agire nella modalità descritta può essere considerata pericolosa. Se l’utente notasse autorizzazioni non concesse, è consigliabile eliminarla immediatamente.
Per ulteriori informazioni