Dall’inizio della pandemia di COVID-19, criminali informatici e autori di malware hanno approfittato del panico generale, della paura e della sete di informazioni per escogitare tattiche diverse per distribuire malware e infettare i dispositivi degli utenti.
È il caso di “Corona-Apps.apk”, una variante del trojan bancario Cerberus. Generalmente diffuso tramite campagne di phishing, Corona-Apps.apk sfrutta l’analogia con il nome del virus reale per indurre gli utenti a installarlo sullo smartphone. Questo trojan si concentra principalmente sul furto di dati finanziari, come i numeri delle carte di credito. Inoltre, può utilizzare attacchi overlay per ingannare le vittime convincendole a fornire informazioni personali ed è in grado di acquisire i dettagli delle autenticazioni a due fattori.
Non si tratta di un singolo caso isolato: simili vettori d’infezione infatti sono già stati visti circolare allo stato brado.
Il trojan svelato
L’odissea dell’infezione inizia quando un utente scarica sul proprio dispositivo l’app dall’URL “hxxp://corona-apps[.]com/Corona-Apps.apk”. Dal momento che non presenta nessuna interfaccia, molto probabilmente quest’URL viene usato come link ipertestuale per altre piattaforme e tentativi di phishing.
Immagine 1. Il sito web vuoto con l’avvertimento del browser
Dopo il primo avvertimento, l’utente ne riceve un secondo dal sistema operativo, che lo avvisa del pericolo che comporta installare applicazioni provenienti da fonti sconosciute. Se l’utente continua il processo di installazione, visualizzerà la seguente schermata:
Immagine 2. Il prompt di installazione di “Corona-Apps.apk”
A differenza della versione precedente di Cerberus, questa non nasconde la propria icona sullo schermo, ma bombarda l’utente con una notifica ogni 10 secondi:
Immagine 3. Notifica che chiede il privilegio di accesso e il prompt
Le notifiche di richiesta si fermeranno solo dopo che l’utente avrà disinstallato l’app o le avrà concesso il privilegio di accesso. Inoltre, l’app chiederà l’autorizzazione per accedere alle foto e ai media sul dispositivo, gestire le chiamate telefoniche e i messaggi SMS e avere accesso ai contatti.
Una volta ricevute le autorizzazioni, l’app inizierà a comunicare con il suo centro di comando e controllo, segnalando che un nuovo dispositivo fa parte della botnet, inviando dati relativi al dispositivo e scaricando il file di payload chiamato RRoj.json.
Dopo un po’ di tempo, il vero obiettivo del trojan viene svelato quando un file di database SQLite chiamato Web Data viene introdotto nello smartphone per memorizzare ed estrarre i dettagli delle carte di credito presenti all’interno:
Immagine 4. Il file DB utilizzato per memorizzare le credenziali e il contenuto della tabella “credit_cards”
Come disinstallare Corona-Apps.apk
Dopo che l’app ha ottenuto il pieno controllo del dispositivo, l’unico modo per rimuoverla è quello di forzarne l’arresto e poi disinstallarla. Se si tenta di disinstallarla direttamente, il prompt di disinstallazione lampeggia per un secondo e poi scompare, senza dare all’utente il tempo sufficiente per interagire con il prompt.
Vivere al sicuro in un periodo di pandemia di malware
In conclusione, il desiderio di informazioni tempestive è un’esca di provata efficacia per i criminali informatici e i piani di phishing. Ma non devono prendervi. Ecco 4 semplici misure per aumentare la sicurezza online:
1. Pensate prima di fare clic. Quella app/pagina nuova di news/dashboard potrebbe non essere quello che pensate.
2. Rimanete su Play. Non scaricate né installate mai applicazioni al di fuori del mercato ufficiale di Google Play
3. Prestate attenzione. Il vostro dispositivo vi avviserà quando installerà una nuova app.
4. Installate una soluzione antivirus certificata e testata. Avira Antivirus 2020 rende tutto più semplice e rileva questo malware come ANDROID/Dropper.FRYX.Gen.
IOCs and technical information:
Distribution hxxps://corona-apps[.]com/Corona-Apps.apk
hxxp://corona-apps[.]com/Corona-Apps.apk
hxxps://corona-apps[.]com/
hxxp://corona-apps[.]com/
C&C botduke1.ug
Telegram t.me/botduke1
Payload
(SHA-256) 6A22EEA26C63F98763AA965D1E4C55A70D5ADF0E29678511CF303CB612395DF0
Sample
(SHA-256) 93288d18a7b43661a17f96955abb281e61df450ba2e4c7840ce9fd0e17ab8f77
