Grazie alla modularità delle funzioni fornite attraverso il builder e al suo continuo sviluppo (stando alle indiscrezioni di Palo Alto era già presente nel 2016) SpyNote è uno dei malware per Android che si distingue per l’elevata capacità di raccogliere informazioni e per la flessibilità che offre agli attori malevoli di estendere le funzionalità tramite le costanti interazioni con il C2.

Tali funzionalità, oltre a rappresentare una grande opportunità per le piccole organizzazioni criminali il cui unico obiettivo è quello di svuotare i conti correnti delle vittime, si prestano bene per operazioni ben più complesse che mirano invece alle attività di spionaggio.

L’Italia è attualmente sotto l’attacco di questo malware: dalle nostre attività di monitoraggio abbiamo osservato che i cybercriminali stanno tutt’ora operando assiduamente e meticolosamente per rendere Flu Bot ancora più pericoloso.

Il malware ha parametrizzato varie funzionalità che prima erano implementate ad hoc per ogni paese target, consentendo agli autori di usare un unico file APK per più paesi (semplificando e velocizzando quindi la pianificazione delle campagne).

In questi giorni il CERT-AGID ha rilevato una campagna malware per dispositivi Android che utilizza SMS per veicolare Flu bot 3.9. “Flu Bot” (il nome reale è tutto unito, il motivo è spiegato più avanti) è un malware già diffuso al di fuori dall’Italia, in particolare in Spagna, Germania e Ungheria. Il giorno dopo la […]

Un breve PDF tecnico che analizza il codice di Android alla scoperta di come SELinux e altre funzionalità Linux siano usate per isolare le app e contenere le conseguenze di vulnerabilità Local Privilege Escalation. Scarica il PDF.

Due giorni fa abbiamo pubblicato la notizia di un sito volto alla distribuzione dell’ennesimo malware per Android.Non avendo trovato riscontro circa l’identità di questo malware, lo abbiamo battezzato Oscorp, dal titolo della pagina di login del suo C2. Oggi vediamo più nel dettaglio le capacità di questo malware. Va precisato che i malware per Android […]

Aggiornamento (08/06/2020): In data odierna la campagna malevola ai danni di utenti INPS ha ripreso le attività tramite un nuovo dominio “comunicazioneinps[.]top” creato appositamente in data 05/06/2020. Anche in questo caso al click sul link per visualizzare “La domanda per la nuova indennità COVID-19” viene scaricato un file APK malevolo, di tipo Trojan Banker, per […]