Android.TechnoReaper: nuovo malware Android in Google Play

I ricercatori della Webroot Inc. hanno scoperto il nuovo malware Android.TechnoReaper presente all’interno di due applicazioni in Google Play utili ad aggiungere nuove font al nostro smartphone, Free Galaxy Classic Fonts e Galaxy Fonts. In grado di rubare dati sensibili dai nostri smartphone, le applicazioni fino a due giorni fa erano scaricabili dal’app store, ora sono state cancellate.

Il malware è composto da due parti e la tecnica per infettare i nostri dispositivi mobili è davvero molto semplice. Una volta scaricata ed installata la prima parte dell’applicazione, una seconda (ikno.apk) viene scaricata da remoto, all’insaputa dell’utente, dal sito http://www.tech[RIMOSSO].com/index. Questa applicazione è in grado di effettuare

• il tracciamento del dispositivo mobile (GPS)
• la memorizzazione degli sms inviati e ricevuti
• la memorizzazione delle chiamate perse, di quelle in uscita e in entrata.
• la memorizzazione dell’orario delle chiamate e della loro durata

L’azienda che fornisce questa applicazione ha sede a Nairobi (Kenya), ma i server che ospitano il sito, registrato nel novembre del 2011, da dove si può, ancora oggi, scaricare il malware sono localizzati negli U.S.A. Per verificare se lo smartphone da monitorare ha già comunicato con i loro server, ed è quindi pronto ad inviarci i primi dati sensibili, basterà inserire il suo IMEI all’interno di un form presente all’interno di una pagina del loro sito, se l’esito risulterà positivo, ci verrà inviata una e-mail con i nostri dati d’accesso utili per monitorare il traffico del mobile device.

Come avete potuto notare, la percentuale degli antivirus che riconoscono il malware non è alta, fra questi non ci sono i tanto blasonati Symantec, McAfee e F-Secure. Da parte mia ho già provveduto ad inviare il sample a tutte le aziende che, ad oggi, ancora non riconoscono la minaccia.