Tutto ciò che occorre sapere su DroidJack, il malware che si traveste da Pokémon GO

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Può Pokémon GO aiutare un ladro a svaligiare la vostra abitazione? Nel corso degli ultimi tempi ne abbiamo sentite di tutti i colori riguardo uno dei giochi più diffusi su Android: persone che, a causa della disattenzione – e noncuranti dei consigli del gioco stesso – sono capitate all’interno di una stazione di polizia, in zone riservate degli ospedali, persino in zone malfamate della propria città – finendo rapinate del proprio iPhone. Sfortunatamente, gli echi di questo successo hanno raggiunto anche le orecchie degli sviluppatori di malware che, per l’occasione, hanno deciso di riesumare una delle più vecchie conoscenze degli esperti del settore: il malware trojan DroidJack – ma conosciuto anche come OmniRAT, e con altri nomi.

Si tratta di una minaccia reale in quanto questo virus, travestendosi da Pokémon GO – identico in ogni dettaglio – è capace di prelevare tutti i dati contenuti all’interno dello smartphone infetto; inoltre, conosce molte modalità di contatto con le proprie prede, e non si tratta di una minaccia da sottovalutare.

Siete pronti per conoscere DroidJack?

Che cos’è DroidJack

DoidJack è un RAT, ossia un Remote Administration Tool: nominalmente si tratta di un software che chiunque può reperire su Internet attraverso il sito ufficiale e che potrebbe essere utilizzato persino per scopi legali – anche se, attualmente, non ce ne viene in mente nemmeno uno.

DroidJack-malware-pokemon-go-8
Sorpresa!

Tramite il programma desktop messo a disposizione da chiunque acquisti la licenza a vita (per 210$) è possibile costruire un file APK del tutto insospettabile ma che in realtà potrebbe nascondere al suo interno un trojan veramente temibile. Stando infatti a quanto riportano gli esperti, un RAT è in grado di leggere le email, i messaggi di testo e persino le chat di app come WhatsApp o Messenger, registrare le conversazioni e persino tracciare la posizione del device attraverso il sistema GPS. Naturalmente l’installazione ad un soggetto terzo a sua insaputa, così come la creazione di un RAT è illegale e DroidJack non è da meno; questo non sembra aver fermato gli hacker che hanno diffuso decine di versioni differenti dei file APK per l’Europa con segnalazioni provenienti da Svizzera, Francia e Gran Bretagna.

Come DroidJack attacca gli smartphone Android

La storia di DroidJack è di lungo corso e sono stati molti i modi attraverso i quali i suoi sviluppatori hanno tentato di penetrare le difese dei device sfruttando l’ingenuità degli utenti e la loro buona fede. Per quanto riguarda questo approfondimento, ci limiteremo ad esporre i due casi più eclatanti, avvenuti sia in Gran Bretagna che in Germania.

DroidJack-malware-pokemon-go-4
Pokémon GO non è più un posto sicuro a causa di DroidJack

Il primo naturalmente prevede l’utilizzo di una versione modificata di Pokémon GO: il sito Poorpoint ha scoperto infatti l’esistenza di un file APK in circolazione nei market di terze parti – e più generalmente nella Rete in ogni sua forma e declinazione – del tutto identico a Pokémon GO, ma contenente delle modifiche speciali realizzate per prelevare ogni informazione personale possibile (e non solo).

DroidJack-malware-pokemon-go-6

Il primo sospetto dovrebbe già essere la fonte: un file APK reperito all’interno di uno store alternativo ad APK Mirror – nel caso di applicazioni o giochi non ancora disponibili – deve sempre essere trattato con sospetto; se comunque si reputasse la provenienza affidabile, vi sono sostanziali differenze tra i permessi che la versione normale richiede al momento dell’installazione e la versione DroidJack che dovrebbero giustamente alimentare i primi sospetti. A differenza di Niantic, l’hacker non si accontenta e chiede anche il permesso di lettura della cronologia Internet, l’utilizzo degli SMS (con finalità di estorsione facendo uso di servizi ad abbonamento), del credito Google Play e di numerose altre informazioni e dati sensibili.

Una volta completata l’installazione, tutti i file vengono inviati ad un indirizzo IP dinamico solitamente associato ad abitazioni o piccole aziende; ci pare inutile specificare che non sia possibile rintracciare il destinatario.

DroidJack-malware-pokemon-go-5

Secondariamente, è stato rilevato che DroidJack faccia uso degli MMS per autorizzare la propria installazione: alcuni utenti in Germania hanno difatti ricevuto messaggi multimediali (in tedesco, confermando la provenienza perlomeno europea del malware) i quali, adducendo il problema di Stagefright, spingevano al download da fonti sconosciute di un’app per la lettura del contenuto del messaggio. Con i risultati che tutti ben conosciamo.

Come difendersi da DroidJack

Attualmente, solamente un reset alle condizioni di fabbrica può riportare uno smartphone alle sue condizioni naturali; DroidJack infatti penetra a fondo nel sistema impossessandosi di ogni funzione di uno smartphone, compromettendolo seriamente – e non è detto che il ripristino possa essere sufficiente.

DroidJack-malware-pokemon-go-2
State tranquilli, se avete scaricato Pokémon GO da APK Mirror potete andare sul sicuro

Sappiamo bene che Pokémon GO è la novità del momento – abbiamo anche stilato una serie di Saggi Consigli e trucchi per orientarsi nel gioco – ma occorre guardarsi da queste insidie: accettate solamente file APK da fonti valide e riconosciute come APK Mirror, non frequentate market alternativi e ponete sempre uno sguardo sui permessi che le applicazioni vi chiedono – potete averne una panoramica QUI.

Non lasciarti cogliere impreparato, scopri QUI i 3 bot Telegram che possono aumentare la sicurezza del device!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla Sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//