Continua l’invasione di app Android mascherate come software legittimo: questa volta è il turno di un aggiornamento Flash Player capace di spacciarsi per veritiero, una variante del malware “Marcher” già noto per aver causato diversi problemi ad alcuni utenti caduti nella trappola. Sappiamo ormai da tempo che alcune vulnerabilità intrinseche di Flash hanno permesso a malintenzionati di iniettare malware Android sui dispositivi delle vittime, tuttavia in questo caso ci troviamo davanti a qualcosa di ben diverso. Il team di Zscaler avrebbe scoperto che il malware in questione è in grado di farsi passare in tutto e per tutto come un update Flash legittimo, capace di propagarsi tramite un semplice link.
Una volta cliccato il link in questione, abilmente contraffatto per portare l’utente al download del malware Android, verrà automaticamente scaricata un’APK in grado di disabilitare i controlli di sicurezza e consentire l’installazione di app di terze parti, iniettando così altro software malevolo capace di individuare le credenziali di accesso ai servizi utilizzati dall’utente.
Il nuovo malware Android, secondo Zscaler, può essere rilevato da meno del 20% dei software antivirus oggi disponibili, ponendo così un rischio alquanto elevato ad un bacino di utenza vastissimo. Il codice che lo costituisce è inoltre “offuscato”, in grado di passare quasi inosservato alla maggioranza delle app di sicurezza, e capace di agire senza che l’utente possa accorgersene.
L’attacco del malware Android è basato su una tecnica abbastanza diffusa nel mondo delle app capaci di intercettare le credenziali utente: il C&C (Command and Control). Il dispositivo viene registrato su un server remoto, dopodiché il software malevolo attende che l’utente apra un’applicazione e-commerce o simili per intercettare la richiesta della pagina di login. Come spesso succede, in attesa della patch ufficiale che potrà impedire il futuro download di questa minaccia, è sempre bene porre attenzione alla natura dei link su cui si clicca: controllare l’originalità delle app scaricate è pur sempre uno dei migliori metodi per ridurre le possibilità di attacco remoto.
