Non c’è pace per Immuni, l’app ideata per il contact tracing dei contatti con positivi al Covid-19. Prima di un suo possibile rilancio in caso di calo dei contagi (un numero troppo elevato di casi non rende possibile un tracciamento puntuale), un’altra notizia negativa la “affossa”: un nuovo malware per Android si nasconde dietro a una finta app Immuni.
Cert-AgID: finta app Immuni in circolazione
L’agenzia per l’Italia Digitale, agenzia pubblica italiana per l’innovazione tecnologica che risponde alla Presidenza del Consiglio dei ministri, segnala l’esistenza di un pericolo per gli utenti Android.
La struttura pubblica con compiti di sviluppo della sicurezza informatica ha identificato un sito fraudolento che replica fedelmente il Google Play Store, proponendo app che sembrano – ma non sono – quelle presenti sullo store di Google: un utente poco attento, scaricando un’app “fake” diventa quindi vittima di un attacco informatico.
Immuni è la principale danneggiata, ma non è l’unica app che viene sfruttata come “specchietto per le allodole”.
Non solo Immuni, le altre app coinvolte
Oltre a Immuni si segnalano diverse app importanti, molte delle quali di tipo bancario, tutte molto popolari:
- Amazon,
- eBay,
- Paypal,
- Credem,
- Intesa San Paolo
- InBank.
Che tipo di malware viene installato?
Non si ha ancora un isolamento preciso del malware, ma si sa che è un derivato da Anubis, malware “ibrido” che è sia infostealer, keylogger e ransomware. In poche parole, il malware ruba dati, spia le attività dell’utente e blocca i dispositivi.
Una tipologia di software malevolo particolarmente pericoloso, quindi.
Il sito fraudolento
Il dominio incriminato è play[.]goooogle[.]services e risulta registrato solamente il 12 novembre: utilizza certificati Let’s Encrypt, emessi gratuitamente dall’autorità competente per un periodo limitato (90 gg e non 1 anno) rispetto agli altri certificati che crittografano le comunicazioni, rendendole sicure.
Ciò crea un una falsa aspettativa di sicurezza dell’utente, ma in realtà ci si trova in un ambiente pericolosissimo.
Questo tipo di siti e di certificati sono tipici delle campagne di phising.
Come ha agito Cert-AgID?
Oltre ad aver svolto questo importante servizio informativo con l’aiuto di D3Lab, l’agenzia ha identificato e condiviso degli IoC, ossia i cosiddetti “Indicator of Compromise”, segnali/indizi che permettono di individuare un possibile attacco informatico.
Perché questo caso ci fa capire l’importanza delle società di cyber security?
Il motivo è semplice: questo tipo di attacchi è di recente creazione, si tratta di una campagna che -seppur basandosi su derivati di malware già esistenti – è nuova. Inoltre, si basa sull’elemento più vulnerabile della catena, l’uomo.
È la vittima stessa che, inconsapevolmente, apre le porte agli hacker. Ed è anche per questo motivo che i tradizionali sistemi di sicurezza informatica (antivirus, firewall) risultano poco efficaci. Soprattutto in un’era di smart working in cui si lavora su reti private poco sicure.
Aziende di cyber security, attraverso soluzioni innovative di sicurezza gestita e l’utilizzo di esperti analisti, riescono a individuare per tempo gli Indicator of Compromise salvando imprese e persone da attacchi informatici che possono avere gravi ricadute economiche e di reputazione.
Interessato a conoscere le migliori aziende di cyber security? Contatta il team di Noi Sicurezza per maggiori informazioni: