Il malware mobile appena scoperto può aumentare le bollette telefoniche delle vittime, hanno rivelato i professionisti della sicurezza informatica di Avast.

La società di antivirus ha recentemente rilevato un malware unico SMSFactory distribuito tra i suoi clienti brasiliani, con utenti mobili in Russia, Ucraina, Turchia e Argentina che sembrano essere nel mirino.

SMSFactory infligge danni indicando allo smartphone Android di inviare telefonate e messaggi di testo a numeri a tariffa maggiorata. È distribuito attraverso canali non ufficiali, il che significa che non troverai SMSFactory sul Play Store, ma lo troverai su APKMods e PaidAPKFree, due repository di app mobili con politiche discutibili. Avast afferma inoltre che gli aggressori promuovono l'app con annunci dannosi, notifiche push, vari popup e siti Web promozionali, video, ecc.

Tra i vari permessi richiesti dall'app, i ricercatori hanno trovato anche il permesso di accedere all'elenco dei contatti (si apre in una nuova scheda), quindi è molto probabile che utilizzi l'elenco per ampliare ulteriormente la sua portata. Altre autorizzazioni richieste includono i dati sulla posizione, l'autorizzazione per effettuare chiamate telefoniche, inviare e leggere messaggi di testo, bloccare e vibrare, gestire la sovrapposizione, utilizzare lo schermo intero, tenere traccia delle notifiche e avviare varie attività in background.

Se queste autorizzazioni non erano abbastanza grandi da essere una bandiera rossa, il dispositivo Android attiverà anche un avviso durante l'installazione, informando la potenziale vittima che l'app è pericolosa. Tuttavia, molti sembrano aver chiuso un occhio sugli avvisi, poiché l'app ha "decine di migliaia" di installazioni, ha affermato Avast.

Una volta installata, l'applicazione visualizzerà un messaggio che indica che non funziona o che il servizio non è disponibile. Poiché nasconde il nome e l'icona, molti utenti hanno difficoltà a rimuoverlo o apparentemente dimenticano di aver installato qualcosa.

Tuttavia, l'applicazione continua a funzionare in background, mantenendo la connessione con il server C2 e inviando un profilo identificativo del terminale infetto.

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo