Gaia Bottà

MazarBOT, malware per Android con eccezione russa

Destinato a colpire terminali Android, si distingue per la sua versatilità e per la peculiarità di risparmiare gli utenti di lingua russa. Un SMS il veicolo dell'infezione

Roma - Era il mese di novembre quando i ricercatori di sicurezza di Recorded Future lo avevano avvistato, in vendita in un post in lingua russa su forum frequentati dai cybercriminali: i ricercatori di Heimdal Security, a pochi mesi di distanza, hanno verificato che la minaccia è ora attivamente sfruttata ai danni di utenti Android. MazarBOT consente a colui che lo controlla di avere accesso a pressoché tutti i dati del dispositivo infetto, e consente di operare in maniera silenziosa sul terminale, assoggettandolo al proprio controllo.

Il vettore di attacco è rappresentato da un SMS o un MMS che invita l'utente a visitare un link dove risiederebbe un'immagine ricevuta da un numero di telefono sconosciuto: il link conduce all'installazione di una applicazione che si spaccia per un servizio di visualizzazione di MMS, ma che si assicura i privilegi di amministratore sul dispositivo.

Il malware, dopo aver inviato un SMS a un numero iraniano con la localizzazione del dispositivo, procede all'installazione di Tor attingendo a fonti legittime, al fine di occultare le proprie comunicazioni, e all'installazione di Polipo, soluzione di proxy che viene configurata in modo da consentire agli aggressori di operare sul traffico di rete dell'utente, aprendo la strada ad attacchi man-in-the-middle.
In questo modo, MazarBOT dispiega tutte le proprie armi per offendere e difendersi: gli attaccanti possono inviare SMS a servizi a pagamento, alterare le impostazioni del device e manipolarlo a proprio piacimento, possono monitorare tutte le attività dell'utente del dispositivo, compresa ad esempio la lettura di messaggi che contengono codici di autenticazione per servizi di home banking, per cui il malware era pubblicizzato sui forum del cybercrime.

Ad essere risparmiati da MazarBOT sono gli utenti di lingua russa: i ricercatori non si dicono sorpresi, in quanto si tratta di una caratteristica rilevata spesso anche fra i malware per PC.

Gaia Bottà
Notizie collegate
  • SicurezzaMetel, malware per le banche russeUna nuova minaccia informatica prende di mira gli istituti finanziari russi e non solo, infetta i sistemi al cuore della gestione delle transazioni e poi manda in giro i criminali a eseguire prelievi infiniti dagli ATM
  • SicurezzaAndroid, app adware con rooting incorporatoIndividuata una nuova minaccia alla sicurezza dei gadget Android, una genìa di app malevole progettate per dispensare advertising e capaci di fare il rooting del dispositivo in background. Si scaricano dagli store di terze parti, per ora
  • SicurezzaStagefright 2.0, torna la paura su AndroidUna falla di vecchia data e un bug che affligge Android 5.x aprono il sipario su una nuova minaccia da un miliardo di utenti: basta l'anteprima di un video o di un file audio. Le patch sono pronte, ma quando saranno distribuite?
19 Commenti alla Notizia MazarBOT, malware per Android con eccezione russa
Ordina
  • Android non era sicuro visto che è basato su Linux?
    Eh? EH? EHHH?
    non+autenticato
  • Certo!
    "è rappresentato da un SMS o un MMS che invita l'utente a visitare un link dove risiederebbe un'immagine ricevuta da un numero di telefono sconosciuto: il link conduce all'installazione di una applicazione"
    D'accordoooooo!
    Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: Vannova Markosky
    > Certo!
    > "è rappresentato da un SMS o un MMS che invita
    > l'utente a visitare un link dove risiederebbe
    > un'immagine ricevuta da un numero di telefono
    > sconosciuto: il link conduce all'installazione di
    > una
    > applicazione"
    > D'accordoooooo!
    > Rotola dal ridereRotola dal ridereRotola dal ridere

    E visto che funziona, deduciamo che gli utenti del sistema basato su linux sono degli asini Rotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: omino ma come
    > Android non era sicuro visto che è basato su
    > Linux?
    > Eh? EH? EHHH?

    Ma... omino ma come, cosa stai dicendo mai? Certo che è sicuro, ma qui non c'entra nulla.

    Il lancio volontario di un programma/app che l'utente si è scaricato coscientemente da internet e altrettanto coscientemente installato concedendo anche permessi che esulano dalle finalità del prodotto, è un'operazione di per sè lecita per qualunque S.O., Win10 in primis ed Osx iOS in secundis.
  • - Scritto da: rockroll

    > Ma... omino ma come, cosa stai dicendo mai? Certo
    > che è sicuro

    Sicuro???
    Con stagefright e fratelli che possono exploitare il 95% dei terminali in circolazione? Deluso


    , ma qui non c'entra
    > nulla.

    http://punto-informatico.it/b.aspx?i=4302079&m=430...
    non+autenticato
  • - Scritto da: omino ma come
    > - Scritto da: rockroll
    >
    > > Ma... omino ma come, cosa stai dicendo mai?
    > Certo
    > > che è sicuro
    >
    > Sicuro???
    > Con stagefright e fratelli che possono exploitare
    > il 95% dei terminali in circolazione?
    >Deluso
    ma concretamente sei riuscito a farlo almeno su UN terminale? dico, TU, di persona?Sorride
    non+autenticato
  • - Scritto da: bubba

    > ma concretamente sei riuscito a farlo almeno su
    > UN terminale? dico, TU, di persona?
    >Sorride

    io no perché sono troppo occupato a ridere per questo:
    il bug più pericolo e più difficilmente patchabile di sempre:
    http://arstechnica.co.uk/security/2016/02/extremel.../
    non+autenticato
  • Zero day? NO! Patchato? Si! Amen...
    non+autenticato
  • - Scritto da: omino trollone
    > Zero day?

    1) noto da 8 mesi.
    2) c'è il proof of concept.
    3) non è patchato, visto che vanno ricompilati TUTTI gli applicativi anche quelli dismessi da mesi...
    non+autenticato
  • - Scritto da: omino la verita fa male lo so

    > 1) noto da 8 mesi.

    ma esistente "Since 2008" !!!!! Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • - Scritto da: omino che ride
    > - Scritto da: bubba
    >
    > > ma concretamente sei riuscito a farlo almeno
    > su
    > > UN terminale? dico, TU, di persona?
    > >Sorride
    >
    > io no perché sono troppo occupato
    e non sei il solo. non mi e' capitato un solo cristiano che abbia fatto vedere qualcosa di comodo e funzionale oltre il poc per nexsus e 4.0.4Sorride

    > a ridere per
    > questo:
    > il bug più pericolo e più difficilmente
    > patchabile di
    > sempre:
    > http://arstechnica.co.uk/security/2016/02/extremel
    ti diverti con pocoSorride io invece non ho tutta sta tempo per sparare query obese a dns malevoli nella speranza che mi ownino il pcSorride neanche ricorsive....
    non+autenticato