È in corso una pesante campagna via SMS e MMS, molto probabilmente di stampo russo, che mira ad aggredire i dispositivi Android.
Questa volta non viene sfruttata nessuna lacuna di sicurezza del sistema operativo. I criminali informatici stanno più semplicemente inviando ai possessori di dispositivi mobili SMS e MMS contenenti un link ad un file APK.
L’utente che dovesse aprire tale pacchetto, installerebbe un’applicazione – battezzata Mazar Bot – che dapprima proverà ad acquisire i diritti di root sul dispositivo mobile in uso e che poi scarica ed installa un’app che integra un client TOR.
Tale app viene sfruttata per collegarsi ai server C&C (command&control) degli aggressori che potranno così prendere il controllo del dispositivo infettato ed eseguire tutta una serie di operazioni.
L’app malevola, in particolare, può inviare SMS verso servizi telefonici a valore aggiunto facendo così rapidamente scemare il credito residuo dell’utente, può leggere il contenuto degli SMS inviati e ricevuti dall’utente traendo così informazioni utili per l’accesso a servizi online (ad esempio quelli che richiedano l’autenticazione a due fattori) e, sfruttando i diritti root, può arrivare anche a cancellare tutti i dati presenti nello smartphone o nel tablet.
Mazar Bot integra anche un proxy che può essere sfruttato per condurre attacchi man-in-the-middle e, di conseguenza, intercettare anche il contenuto delle comunicazioni cifrate via HTTPS.
Infine, il malware può legarsi a doppio filo con il browser Chrome, con la possibilità di intercettare tutte le informazioni introdotte dall’utente.
Mizar Bot è stato scoperto dai tecnici di Heimdal Security che hanno pubblicato una dettagliata analisi del suo comportamento.
Nonostante il malware abbia già mietuto diverse vittime, va detto che l’infezione può essere evitata usando il semplice buonsenso. Perché dare subito credito al contenuto di un SMS/MMS senza porsi qualche domanda?
Perché accettare l’installazione di un’applicazione sconosciuta e di provenienza dubbia?
Per installare il file APK malevolo, tra l’altro, è indispensabile che l’utente abbia attivato la casella Origini sconosciute nella sezione Sicurezza delle impostazioni di Android.