IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Nuovo malware per Android sfrutta il nome dell’app Immuni

20/11/2020

apk immuni

Il Cert-AgID, grazie alla collaborazione con D3Lab, ha potuto riscontrare la creazione di un sito che riproduce fraudolentemente il repository del Google Play Store. Il sito diffonde la stessa applicazione (APK) malevola tramite l’utilizzo di diverse pagine all’apparenza identiche a quelle riscontrabili nello store di Google, la più subdola delle quali fa riferimento proprio all’app Immuni.

Il dominio play[.]goooogle[.]services risulta registrato solo 8 giorni fa e, come accade per altre campagne di phishing, utilizza certificati Let’s Encrypt, emessi gratuitamente.

Purtroppo Immuni non è la sola app ad essere stata presa di mira: il dominio ospita attualmente una lista di fake app in ambito bancario tra cui eBay, Paypal, Credem, Amazon, Intesa San Paolo e InBank.

All’avvio, la fake app “Immuni” si presenta come se fosse un’app di “IntesaSanpaolo” ed inizia ad effettuare traffico sulla porta 80 verso il dominio soofoodoo[.]club associato al seguente IP: 185.156.172[.]69

L’applicativo è sicuramente un derivato di Anubis, come la maggior parte dei MaaS per Android. Come Anubis, le funzioni dell’app sono cifrate con RC4 dentro una risorsa dell’APK. Sebbene non sia stata effettuata una analisi specifica, le prime verifiche confermano molti punti in comune tra questo malware e Anubis, incluso l’uso di un Accessibility service ed il download di un APK aggiuntivo dal C2.

Il Cert-AgID ha già condiviso gli IoC attraverso il feed del suo progetto CNTI e la sua istanza della piattaforma MISP.

Al fine di rendere pubblici i dettagli di questa campagna si riportano di seguito gli indicatori rilevati:

Link: Download IoC

Taggato  apk immuni