Video: Android.Elite (Android Malware) (Settembre 2024)
La società di sicurezza mobile Lookout ha pubblicato oggi un rapporto su DefCon che rivela l'incredibile dimensione, portata e complessità delle operazioni di malware Android in Russia. Il rapporto ha scoperto che la maggior parte di questo malware russo non proveniva da individui solitari negli scantinati, ma da macchine per la produzione di malware ben oliate.
Parlando con SecurityWatch, il ricercatore senior e ingegnere di risposta Ryan Smith ha spiegato che l'interesse di Lookout è stato suscitato quando hanno notato che il malware antifrode SMS proveniente dalla Russia costituiva il 30% di tutto il malware che la società stava rilevando. Nel corso di sei mesi, la società ha scoperto un'industria di cottage cresciuta attorno alla produzione e distribuzione di malware Android.
The Scam
Lookout ha scoperto che 10 organizzazioni sono responsabili di circa il 60 percento del malware russo in Russia. Questi erano incentrati su "HQ malware" che in realtà produce app dannose. Una volta scaricate, queste app utilizzano codici brevi SMS che fatturano alle vittime tramite il loro operatore wireless. Negli Stati Uniti, spesso li vediamo collegati ad organizzazioni caritatevoli come la Croce Rossa.
Ecco come funziona la truffa: HQ Malware crea applicazioni dannose che possono essere configurate per assomigliare a qualsiasi cosa. Inoltre registrano e mantengono i codici brevi con i gestori wireless. Gli affiliati o le persone che lavorano per conto del quartier generale del malware, personalizzano il malware e lo commercializzano attraverso i loro siti Web e social media.
Le vittime trovano il sito Web degli affiliati o lo spam sui social media e scaricano le applicazioni dannose. Una volta sul dispositivo Android della vittima, il malware invia uno o più messaggi SMS premium, di solito costando alla vittima tra $ 3 e $ 20 USD.
Poiché il quartier generale del malware possiede i codici brevi, ottengono i soldi dal corriere della vittima. Prendono un taglio e danno il resto agli affiliati, che apparentemente sono pagati come normali dipendenti in base alle loro prestazioni. Smith afferma che Lookout ha osservato che alcune affiliate guadagnano $ 12.000 USD al mese per oltre cinque mesi, suggerendo che si tratta di un "business" redditizio e stabile.
Enorme in scala e complessità
È una truffa piuttosto semplice e probabilmente il modo più diretto per fare soldi con malware Android. Ciò che rende notevole la scoperta di Lookout è la dimensione e la strana natura aziendale delle operazioni.
Il quartier generale del malware, ad esempio, ha reso sorprendentemente facile per gli affiliati personalizzare il malware. Smith ha affermato che il quartier generale del malware ha prodotto diversi temi per facilitare la personalizzazione del malware da parte degli affiliati. "Possono far sembrare Skype, Google Play, qualsiasi cosa per indurre un utente a scaricarlo e credendo che sia reale", ha affermato Smith.
Smith ha affermato che anche le organizzazioni di malware HQ hanno lanciato aggiornamenti e nuovi codici ogni una o due settimane "come qualsiasi altra startup agile". Molti di questi aggiornamenti sono stati progettati specificamente per eludere le società di sicurezza, arrivando persino a "crittografare parti del programma che vengono decodificate prima che vengano utilizzate".
Dall'altra parte dell'operazione, gli affiliati sono molto impegnati nel loro lavoro ma anche volubili. Ci sono, ha detto Smith, forum e siti Web in cui gli affiliati confrontano il funzionamento di diversi quartier generali di malware. Sebbene la regolarità dei pagamenti sia stata una delle principali preoccupazioni, il servizio clienti, in sostanza, il supporto tecnico affiliato, era fondamentale. Se gli affiliati non sono soddisfatti di un determinato quartier generale di malware, passeranno a un altro.
I quartier generali del malware fanno di tutto per rendere anche i loro affiliati di successo. Smith afferma che i leader del ring motiverebbero gli affiliati con premi in denaro per prestazioni elevate, alcune fino a $ 300.000 USD. Hanno persino creato piattaforme pubblicitarie per gli affiliati per fornire informazioni migliori su quali truffe si stavano comportando meglio in quali regioni.
Il rivestimento d'argento
Mentre è terrificante vedere il crimine commesso su così vasta scala, e con tutte le trappole della normalità, ci sono alcune buone notizie qui. I lettori negli Stati Uniti possono stare tranquilli, poiché la maggior parte di queste truffe utilizzano codici funzione specifici che non funzioneranno al di fuori della Russia e dei paesi circostanti.
Ancora più importante, Smith ha spiegato che svelando l'intera portata di questa truffa, possono fornire una migliore protezione. "Ora siamo in grado di ricollegarci alla loro distribuzione", ha detto Smith. Apparentemente la società ora può bloccare più del semplice codice, che viene frequentemente modificato, ma può anche schermare server, indirizzi IP e altri marcatori.
Questo non fermerà completamente i truffatori. Dopotutto, se sono abbastanza intelligenti da modificare il loro codice, allora sono abbastanza intelligenti da sapere che le compagnie di sicurezza sono su di loro. Tuttavia Smith afferma che questa potrebbe essere una vittoria a lungo termine: "Per apportare le modifiche che devono apportare, sarà costoso per loro".
E sappiamo che inseguire il portafoglio è un ottimo modo per combattere il malware.
Clicca per vedere l'immagine completa
