Fonte: Chimerarevo.com

I ricercatori della security firm russa “Doctor Web” hanno scoperto un nuovo e inquietante malware Android, in grado di intercettare gli SMS entranti e di inoltrarli a terzi senza che l’utente si accorga di niente. Il malware prende il nome di Android.Pincer.2.origin e farebbe parte della famiglia degli Android.Pincer, già scoperti qualche tempo fa.

Come si diffonde

Come tutti gli altri malware della famiglia, anche Android.Pincer.2.origin inganna l’utente spacciandosi per un certificato di sicurezza (immagini in alto),alla cui installazione solitamente gli utenti più sbadati non danno peso.

Una volta installato il falso certificato, il malware mostrerà all’utente una falsa notifica di installazione avvenuta restando successivamente inattivo per qualche tempo.

Come agisce

Il malware viene caricato in fase di avvio del device Android dal servizio CheckCommandService; una volta in esecuzione, Android.Pincer.2.origin si connetterà ad un server remoto ed invierà direttamente al fautore (o ai fautori) dell’attacco alcune informazioni per permettere il riconoscimento univoco del device in questione, tra cui:

• il modello del device;
• il numero di serie del device;
• l’IMEI;
• il gestore telefonico;
• il numero telefonico;
• la lingua di sistema;
• il sistema operativo;
• la disponibilità o meno dell’account root.

Una volta inviate le informazioni il malware si mette in modalità “listening”, ovvero in attesa di comandi dal server di controllo. I ricercatori di Doctor Web sono riusciti a risalire al genere di comandi che il malware è in grado di ricevere ed eseguire. Chiaramente i messaggi inviati saranno a nome (e a credito) dell’utente vittima del malware. I comandi interpretabili da Android.Pincer.2.origin sono:

1. start_sms_forwarding : inizia ad intercettare gli SMS della vittima ricevuti dal numero specificato;
2. stop_sms_forwarding: ferma l’intercettazione dei messaggi;
3. send_sms : invia un SMS al numero indicato e con il testo specificato;
4. simple_execute_ussd: invia un messaggio di servizio (USSD);
5. stop_program: ferma l’esecuzione del programma;
6. show_message: mostra un messaggio sul display del device vittima;
7. set_urls: cambia l’indirizzo del server di controllo;
8. ping: invia un SMS che contiene il testo “pong” ad un numero specificato in precedenza;
9. set_sms_number: cambia il numero al quale dovranno essere inviati gli SMS del comando precedente.

Chiaramente i comandi più pericolosi sono il numero 1 che da il via alle intercettazioni e potrebbe essere pericolosissimo nel caso di transazioni online di vario genere ed il numero 3 che permette al malitenzionato di turno di inviare SMS a vostro nome. Interessante anche la funzionalità numero 7, che permette ai cattivoni - qualora vi siano problemi – di modificare l’URL del server di controllo.

Fortunatamente non c’è (ancora) traccia di un malware del genere sul Google Play Store, ma questa scoperta dovrebbe renderci consapevoli principalmente di due cose:

1. è assolutamente sconsigliato scaricare ed installare APK da dubbie fonti, in quanto anche la cosa più innocua potrebbe rivelarsi nociva;
2. i malware per Android stanno prendendo una piega sempre peggiore, diventando più diabolici ogni giorno che passa.

State molto attenti!