Su Google Play spuntano malware Android

Tre app per Android distribuite su Google Play (ora rimosse da Google ma scaricate oltre dieci milioni di volte) contenevano codice malware in grado di attaccare i dispositivi di inconsapevoli utenti. Nello specifico si tratta di una versione del gioco di carte Durak, un test d’intelligenza e un’applicazione dedicata alla storia della Russia. L’allarme è stato lanciato da Filip Chytry sul blog di Avast, il noto software antivirus.
“Un paio di giorni fa – scrive Chytry – un utente ha pubblicato un commento sul nostro forum riguardante alcune applicazioni che ospitano adware distribuite su Google Play”. La notifica inizialmente non aveva destato una grossa preoccupazione, ma dopo una attenta analisi il problema in realtà si era rivelato più pesante del previsto.
Le app sono risultate infette da codice malevolo che può far apparire false notifiche di sistema. Una volta installate, infatti, tutto sembra procedere senza intoppi. Dopo un un certo numero di giorni, variabili da da una settimana ad un mese, i dispositivi iniziano ad avere dei problemi. Cominciano a materializzarsi annunci e avvisi indesiderati riferiti a non bene definite infezioni da malware, un mancato aggiornamento o qualche altro problema. Naturalmente si viene invitati a risolvere la complicazione attraverso un link da loro proposto e si viene indirizzati verso un sito contenente altro malware e app store non ufficiali, che tentano di inviare Sms ad alto costo dal telefono compromesso e rubare dati. Continua

CTB-Locker, il pericoloso malware che ricatta gli utenti

Si sta diffondendo in questi giorni, con una certa virulenza, una nuova variante del ransomware CTB-Locker, un malware che dopo aver infettato il sistema delle vittime cadute nella trappola, è in grado di crittografare i file del computer, tenendoli in “ostaggio” fino a quando l’utente non avrà pagato il riscatto di circa 200/500 euro entro 72/100 ore. Trascorso inutilmente il tempo prefissato, senza il pagamento di quanto richiesto, i file crittografati divengono irrecuperabili in modo permanente.

ctb-locker-screenshot-600

La diffusione di CTB-Locker avviene attraverso la posta elettronica e l’infezione si attiva aprendo l’allegato contenuto in una e-mail contenente le informazioni su uno pseudo acquisto di materiale informatico.

Il file ZIP allegato alla e-mail contiene un file eseguibile con una icona e una estensione cab. Tale file è camuffato e potrebbe non essere visibile come “.exe”. Questo perchè i creatori del virus si sono basati sul fatto che i sistemi Windows non mostrano le estensioni dei file di default e in questo modo l’eseguibile potrebbe essere visualizzato come “.pdf”, ingannando gli utenti inducendoli ad aprirlo. Anche se tutti ormai dovrebbero saper diffidare dei messaggi di posta elettronica contenenti allegati non richiesti, purtroppo sono ancora troppi coloro che continuano ad aprire incautamente e di impulso gli allegati alle e-mail. Occorre ricordare e sottolineare, che i messaggi di posta elettronica contenenti malware sono frutto di tenciche di ingegneria sociale (dall’inglese social engineering) particolarmente subdole e in grado di trarre in inganno.

Una volta avviato l’allegato, il software si installa nella cartella “Documents and Settings” (o “Users“, nei sistemi Windows più recenti) con un nome a caso e inserisce una chiave nel registro affinchè si possa poi avviare automaticamente ad ogni accensione della macchina. Fatto ciò, tenta la connessione a uno dei server di controllo e una volta connesso riceverà una chiave RSA a 2048 bit, inserendola come chiave pubblica sul sistema. A questo punto …  (Continua la lettura)