Ancora una volta, sfruttando il tema “Covid-19” e la popolarità dell’app Immuni, i criminali stanno diffondendo una versione fake della stessa app attraverso domini creati ad-hoc.

A segnalare la presenza della fake app Immuni nella scorsa giornata di giovedì 15 è stato il gruppo di ricercatori di Malware Hunter Team (MHT) attraverso un tweet. I ricercatori hanno condiviso con il Cert-AgID il sample in questione, fornendo anche i relativi C2 contattati dal malware.

Per quanto la query qui mostrata possa far pensare in prima battuta a Cerberus, l’analisi del sample in oggetto ha dimostrato invece contenere codice di Alien, il successore di Cerberus, un malware per sistemi Android di cui si sta ampiamente discutendo in questo ultimo periodo.

• 

• 

• 

• 

• 

Nella giornata di ieri, grazie anche al contributo di D3Lab, sono stati individuati i domini che ospitavano la fake app.

• 

Grazie quindi al prezioso supporto della comunità italiana e alle loro tempestive segnalazioni, il Cert-AgID ha potuto diramare gli indicatori di compromissione sulle proprie piattaforme di diffusione di IOC.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC