Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Nuovo Allarme Malware su Google Play: 2 Milioni di Download Infetti da FakeApp!

Redazione RHC : 14 Novembre 2024 07:19

Gli specialisti Doctor Web riferiscono di aver scoperto nel Google Play Store un altro lotto di applicazioni infette da malware della famiglia FakeApp. Va notato che in totale le applicazioni sono state scaricate almeno 2.160.000 volte e uno dei campioni di malware utilizzava il DNS per la comunicazione nascosta con i server di controllo.

I ricercatori ricordano che l’obiettivo principale di molti trojan Android.FakeApp (anche solo FakeApp) è quello di seguire collegamenti a vari siti e che, da un punto di vista tecnico, questi malware sono piuttosto primitivi. Pertanto, una volta avviati, ricevono un comando per aprire un determinato URL. Gli utenti che li hanno installati, invece di vedere il programma del gioco previsto, vedono sugli schermi dei propri dispositivi i contenuti di un sito indesiderato.

Particolare attenzione è stata rivolta al campione Android.FakeApp.1669 che si distingue per l’utilizzo di una libreria dnsjava modificata, con l’aiuto della quale il trojan riceve una configurazione da un server DNS dannoso contenente un link di destinazione. Si noti che la configurazione viene ricevuta solo quando si è connessi a Internet tramite determinati provider (ad esempio Internet mobile). In altre circostanze, il Trojan non si manifesta in alcun modo.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?

Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". 
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.  
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. 
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Secondo i ricercatori, questa variante di FakeApp presenta numerose modifiche che si mascherano da varie applicazioni e vengono distribuite anche tramite il negozio ufficiale Google Play. Le varianti conosciute del trojan sono state scaricate dallo store ufficiale di Android almeno 2.160.000 volte.

Di seguito sono elencate solo alcune varianti di Android.FakeApp.1669 identificate dagli analisti Doctor Web su Google Play. Va notato che i ricercatori hanno trovato ancora più applicazioni infette, ma alcune di esse sono già state cancellate.

Nome ApplicazioneNumero di Download
Split it: Checks and Tips1 000 000+
FlashPage parser500 000+
BeYummy – your cookbook100 000+
Memogen100 000+
Display Moving Message100 000+
WordCount100 000+
Goal Achievement Planner100 000+
DualText Compare100 000+
Travel Memo100 000+ (удалена)
DessertDreams Recipes50 000+
Score Time10 000+

Una volta avviata, questa versione di FakeApp effettua una query DNS al server di comando e controllo per ottenere il record TXT associato al nome di dominio di destinazione. In risposta, il server fornisce questo record al Trojan solo se il dispositivo infetto è collegato alla rete tramite il provider preso di mira. Per inviare richieste DNS, il Trojan utilizza il codice modificato della libreria open source dnsjava.

Tali record TXT solitamente contengono informazioni sul dominio e alcune altre informazioni tecniche, ma in questo caso contengono la configurazione codificata per l’esecuzione del malware.

Tutte le modifiche del Trojan sono legate a nomi di dominio specifici, che consentono al server DNS di trasferire la propria configurazione a ciascuno di essi. Inoltre, i nomi dei sottodomini dei domini presi di mira sono univoci per ciascun dispositivo infetto. Codificano i dati sul dispositivo:

  • modello e marca del dispositivo;
  • dimensioni dello schermo;
  • identificatore (composto da due numeri: il primo è l’ora di installazione dell’applicazione Trojan, il secondo è un numero casuale);
  • se la batteria si sta caricando e qual è la percentuale attuale della sua carica;
  • se le impostazioni dello sviluppatore sono abilitate.

Ad esempio, una variante del Trojan dell’applicazione Goal Achievement Planner, durante l’analisi, ha richiesto al server un record TXT per il dominio 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com, una variante dell’applicazione Split it: Checks and Tips – un record per il dominio 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital e l’opzione da DessertDreams Recipes è per il dominio 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com.

Per decrittografare il contenuto di questi record TXT, è necessario seguire i seguenti passaggi: invertire la stringa, decodificare Base64, gzip e dividere in righe al carattere ÷.

Il risultato saranno:

  • url hxxps[:]//goalachievplan[.]pro
  • af_id DF3DgrCPUNxkkx7eiStQ6E
  • os_id f109ec36-c6a8-481c-a8ff-3ac6b6131954

Cioè, il risultato è un collegamento che il Trojan carica nel WebView all’interno della sua finestra, sopra l’interfaccia principale. Il collegamento porta a un sito che inizia una lunga catena di reindirizzamenti, al termine della quale si trova il sito del casinò online.

Di conseguenza, il malware si trasforma effettivamente in un’applicazione web che visualizza il contenuto del sito scaricato e non la funzionalità originariamente indicata nella pagina dell’applicazione su Google Play.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Gli USA vogliono hackerare Telegram! Il caso che fa discutere di privacy e giurisdizione
Di Redazione RHC - 29/09/2025

Il Dipartimento di Giustizia degli Stati Uniti ha ricevuto l’autorizzazione del tribunale per condurre un’ispezione a distanza dei server di Telegram nell’ambito di un’indagine sullo sfruttame...

Attacchi globali ai dispositivi Cisco: le Agenzie Cyber avvertono della crisi in corso
Di Redazione RHC - 29/09/2025

Le principali agenzie di tutto il mondo, hanno lanciato l’allarme per una minaccia critica all’infrastruttura di rete: le vulnerabilità dei dispositivi Cisco Adaptive Security Appliance (ASA) e F...

Rendi la formazione un’avventura! Scegli Betti RHC per il tuo Cybersecurity Awareness
Di Redazione RHC - 29/09/2025

Sei stanco dei noiosi corsi di formazione in e-learning? Vuoi davvero far comprendere ai dipendenti della tua azienda i comportamenti sbagliati ed errati per poterla mettere al sicuro? Bene! E’ arri...

Falso installer di Microsoft Teams! Certificati usa-e-getta e una backdoor nel download
Di Antonio Piazzolla - 29/09/2025

Negli ultimi giorni è stata individuata una campagna di malvertising che ha come bersaglio gli utenti aziendali che cercano di scaricare Microsoft Teams. A prima vista, l’attacco sembra banale: un ...

Arriva il robot per la gravidanza! Notizia falsa o un segno premonitore del futuro?
Di Redazione RHC - 29/09/2025

All’inizio di questo mese, è emersa una notizia riguardante l’azienda cinese Kaiwa Technology, che avrebbe creato un “robot per la gravidanza”. La notizia era accompagnata da immagini vivide:...