Su Amazon Appstore è stata scoperta un’applicazione spyware dannosa per Android, denominata “BMI CalculationVsn”, che si spaccia per uno strumento sanitario e ruba furtivamente i dati degli utenti. Questa applicazione era identificato da parte dei ricercatori di McAfee Labs, che hanno tempestivamente avvisato Amazon, determinandone la rimozione dallo store. Tuttavia, gli utenti che hanno installato l’app in precedenza devono eliminarla manualmente ed eseguire una scansione completa per garantire la completa eliminazione dello spyware.
App spyware dannosa scoperta su Amazon Appstore
L’applicazione BMI CalculationVsn, pubblicata da “PT Visionet Data International”, tenta di presentarsi come un semplice calcolatore dell’indice di massa corporea (BMI). Gli utenti incontrano un’interfaccia apparentemente semplice che consente loro di inserire peso e altezza per calcolare il proprio indice di massa corporea; tuttavia, in background vengono eseguite ulteriori funzioni malevole.
All’attivazione dell’app, avvia un servizio di registrazione dello schermo, richiedendo l’autorizzazione quando l’utente fa clic sul pulsante “Calcola”. Questa tattica può indurre gli utenti a concedere approvazioni riflesse. Sebbene l’indagine di McAfee abbia rivelato che il video registrato è archiviato localmente come file MP4, non è stato caricato sul server di comando e controllo (C2). Questa elusione è probabilmente dovuta al fatto che l’app è ancora in una fase di sviluppo.
Un ulteriore esame della cronologia dell’app ha indicato la sua comparsa iniziale l’8 ottobre, con modifiche all’icona, l’aggiunta di ulteriori funzionalità dannose e aggiornamenti alle informazioni sul certificato entro la fine del mese.
Funzionalità e misure contro il furto di dati
L’app Mickey CalculationVsn è impegnata in varie attività dannose progettate per compromettere la sicurezza dell’utente. Oltre a registrare lo schermo, esegue la scansione del dispositivo alla ricerca di altre applicazioni installate, il che potrebbe consentire agli aggressori di definire strategie per i passi successivi in base alle informazioni recuperate. Questa capacità consente loro di identificare gli utenti target in modo più efficace.
Inoltre, lo spyware intercetta e raccoglie i messaggi SMS archiviati sul dispositivo, potenzialmente acquisendo password monouso (OTP) e codici di verifica. I dati SMS intercettati vengono successivamente caricati su un bucket di archiviazione Firebase, indicando chiaramente uno sforzo coordinato per estrarre informazioni sensibili sull’utente.
La botnet BADBOX infetta oltre 192.000 dispositivi Android in tutto il mondo
L’app rimane un work in progress, poiché la ricerca sui suoi campioni precedenti suggerisce che è ancora in fase di test. L’ispezione del codice ha rivelato che la versione iniziale veniva lanciata come app per la registrazione dello schermo, che è stata successivamente trasformata in funzionalità quando l’icona è stata cambiata in quella di un calcolatore BMI.
Lo sviluppatore di BMI CalculationVsn opera sotto il nome di “PT Visionet Data International”, che sembra abusare della reputazione di un legittimo fornitore di servizi di gestione IT aziendale in Indonesia. Ciò suggerisce che il creatore del malware ha un background tecnico e potrebbe possedere una conoscenza dei principi di sviluppo del software.
Alla luce di questa scoperta, si consiglia agli utenti di prestare attenzione durante il download di app da Amazon Appstore che, essendo un’alternativa a Google Play, potrebbe ospitare app che aggirano le tradizionali misure di sicurezza. Le precauzioni da prendere in considerazione includono l’installazione di software antivirus attendibile, l’esame meticoloso delle autorizzazioni delle app richieste e l’attenzione a comportamenti insoliti del dispositivo che potrebbero indicare attività dannose.
Nonostante la rimozione dell’app dall’Appstore, permangono i rischi per gli utenti che l’hanno installata.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
