A distanza di una settimana compare online un nuovo sito che riproduce nuovamente i contenuti del repository Google Play Store proponendo il download di un APK malevolo denominato:

“it.ministerodellasalute.immuni.apk“.

Il Cert-AgID, ancora una volta grazie alla proficua collaborazione con D3Lab, ha potuto tempestivamente riscontrare il finto store e far partire subito le analisi necessarie a trovare e diramare i relativi IoC, ancor prima che la campagna partisse ufficialmente.

Come constatato la scorsa settimana per la precedente campagna, anche questa volta è stato utilizzato un dominio di recente registrazione (il 23 novembre 2020) sul quale è stato installato un certificato Let’s Encrypt.

Come è possibile vedere nello screenshot di seguito riportato, il finto store play[.]google.servjces[.]com ospita le medesime app malevole del precedente.

• 

Ad esser presi di mira sono ancora una volta gli utenti di alcuni noti istituti bancari. I relativi file APK sono stati caricati e resi disponibili sul finto store nella giornata del 25 novembre 2020.

Analizzando il file APK, sono stati riscontrate le medesime peculiarità del sample analizzato nella campagna precedente. Anche il C2 contattato “soofoodoo4[.]club” è simile a quello della scorsa settimana.

Il Cert-AgID ha già condiviso i relativi IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.

Al fine di rendere pubblici i dettagli di questa campagna, si riportano di seguito gli indicatori rilevati:

Link: Download IoC