Tutto ciò che occorre sapere su Agent.GY, il trojan che si maschera da Prisma

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Dopo Pokémon GO, Prisma: era solo questione di tempo prima che si scoprisse la presenza di malware-copia della famosissima app per il photo editing, formula ormai tipica per qualsiasi applicazione di successo che abbia qualche difficoltà durante la procedura di release sugli store.

Il team di ricerca e sviluppo di antivirus ESET ha infatti scoperto la presenza di numerosi trojan e malware non soltanto su store di terze parti ma anche e soprattutto su Google Play i quali, mascherandosi come copie legittime di Prisma (quando ancora non aveva fatto il suo ingresso sul market di Google), penetravano facilmente le difese degli smartphone delle malcapitate vittime.

Siete pronti per scoprire cos’è Agent.GY, e come attacca gli smartphone?

Che cos’è Agent.GY

Agent.GY in realtà non è un singolo malware ma, come spesso accade in casi del genere, è il nome con il quale si è soliti indicare una famiglia di virus e minacce che sono accomunabili da comportamenti e modalità d’attacco simili.

Agent.GY-prisma-malware-3
La metodologia di attacco delle versioni meno pericolose

Il nome completo di questa famiglia di malware è Android/TrojanDownloader.Agent.GY così come indicato da ESET che ha provveduto all’identificazione non soltanto di questo pericolo, ma anche di una serie di altre false applicazioni che, nel tentativo di trarre in inganno l’utenza più ingenua e sprovveduta, provvedevano a mascherarsi da Prisma. Di conseguenza possiamo comodamente affermare di avere a che fare con due categorie differenti di minacce: la prima è rappresentata da applicazioni malevole che si limitano a mostrare falsi annunci o sondaggi con lo scopo di convincere l’utente a fornire i propri dati personali o ad iscriversi a servizi a pagamento via SMS (con tattiche assimilabili alla categoria degli scareware o adware), mentre la seconda è molto più subdola ed è esattamente quella alla quale appartiene Android/TrojanDownloader.Agent.GY.

Agent.GY è un trojan, ossia un malware che adotta la strategia del Cavallo di Troia per aggirare le difese dello smartphone: camuffato da applicazione (Prisma, in questo caso) il trojan giunge nel device senza destare sospetti nell’utente – e non è nemmeno biasimabile per questo, dato che a volte questo tipo di malware viene scaricato direttamente dal Play Store; a questo punto viene lanciato l’attacco ai dati personali utilizzando false schermate o avvertimenti, nonostante le varietà di trojan siano così numerose da non permettere una generalizzazione tale senza cadere in errore.

Come Agent.GY attacca lo smartphone dell’utente

Agent.GY, come solitamente accade per le famiglie di malware, non possiede una strategia d’attacco unificata: i ricercatori di ESET hanno infatti operato una distinzione tra la versione di Agent.GY riscontrata su Google Play (attualmente all’interno di 5 applicazioni) e quella invece scaricabile da market di terze parti.

Agent.GY-prisma-malware-2
No, non c’è decisamente da fidarsi

Inizialmente, Agent.GY provvede a mascherarsi sotto il nome di Prisma, l’app di editing esclusiva per iOS e solo successivamente giunta anche su Android; l’eccessiva attesa aveva generato una forte impazienza che aveva spinto alcuni utenti a scaricare da Google Play queste false applicazioni. Tali app non soltanto possedevano limitate capacità di editing – non comunque ascrivibili al livello di qualità di Prisma – ma provvedevano a scaricare moduli e file infetti da un server C&C, utili ad iniziare l’operazione di furto di credenziali sensibili, come il numero di telefono, i contatti salvati nella rubrica, e via discorrendo.

Una seconda versione di Agent.GY (riscontrata in due false app Prisma) possedevano un modulo con funzione di phishing il quale, una volta avviata l’app, simulava un un messaggio di esecuzione dell’update ad Android 6.0, re-indirizzando l’utente ad una pagina web in lingua russa nella quale inserire i dati di login al proprio account Google. Stando ai dati in possesso di ESET, più di 10.000 utenti hanno scaricato Agent.GY prima che questi venisse espulso da Google Play.

Come proteggersi da Agent.GY

Agent.GY non dovrebbe essere più una minaccia per la maggior parte degli utenti Android, in quanto tutte le false applicazioni nascoste sotto il nome di Prisma dovrebbero essere già state espulse da Google Play; in ogni caso è bene ripetere alcune precauzioni da assumere per evitare il contagio di trojan e malware.

Agent.GY-prisma-malware-1
Non solo Prisma: metodi simili erano già stati utilizzati per MSQRD, GTA V, Pokémon GO

Primariamente, verificate sempre la fonte dalla quale eseguite il download: anche se si tratta di Google Play, date sempre un’occhiata al profilo dello sviluppatore, al nome dell’app ed alle recensioni – specialmente quelle positive, che potrebbero essere pre-fabbricate; secondariamente, non frequentate market di terze parti a meno che non facciano parte di quella ristretta cerchia di store di applicazioni affidabili (APK Mirror, F-Droid, Amazon Underground).

In terzo luogo, non fidatevi mai di messaggi a comparsa scritti in lingue differenti dall’italiano o redatti facendo uso di una sintassi poco chiara e sgrammaticata.

Sei un appassionato utente Prisma? Allora scopri QUI tutti i trucchi da seguire per diventare un fotografo senza pari (c’è persino un bot Telegram che ne replica le funzionalità!)!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//