Tutto ciò che occorre sapere su KSKAS, il malware che si traveste da Cache Cleaner

I Cache Cleaner possono essere dannosi, ma KSKAS lo è di più

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Vi abbiamo già spiegato come spesso i task killer non riservino altro che spiacevoli sorprese: ed è proprio il caso di KSKAS, il malware per smartphone che si maschera da Cache Cleaner e provvede a prendere il controllo dello smartphone dopo che l’utente ha ingenuamente assecondato i passaggi che il virus gli sottopone nella forma di innocui aggiornamenti di sistema.

Siete pronti per scoprire cos’è e come funziona KSKAS, il malware che si traveste da Cache Cleaner ed inonda la Home di pubblicità invasive?

Che cos'è KSKAS

KSKAS è uno dei frequenti casi di malware rintracciabili all’interno delle pubblicità online di forum e siti web: si tratta di una strategia comune per i virus – in quanto può capitare di tappare involontariamente su un annuncio pubblicitario – ma nel caso di KSKAS vi sono numerosi elementi che lasciano intendere che i suoi sviluppatori siano più astuti della media dei programmatori del settore.

KSKAS malware
Uno dei post pubblicati sul sito, pochi minuti prima che venisse rimosso

Uno dei forum dove KSKAS è frequentemente avvistato è Godlike Productions, un sito dedicato al complottismo online che, per qualche motivo, continua ad ospitare tra i propri banner anche il file d’installazione di KSKAS. A riportarlo è il laboratorio Zscaler ThreatLabZ che ha compiuto un’analisi approfondita della natura del malware, provvedendo a segnalare che tutti i post degli utenti del forum riguardanti appunto la presenza di minacce tra gli annunci vengano stranamente rimossi dagli amministratori – ma gli esperti hanno ammesso di non conoscere l’esatta provenienza del virus.

Si tratta di un fenomeno noto come “malvertising”: già presente da anni su Internet, ha conosciuto una crescita sensibile dopo l’introduzione di strumenti di crittografia rapida come Let’s Encrypt, che permette ai siti web di nascondere le proprie connessioni principali e dunque di impedire il riconoscimento diretto di file maligni nascosti tra le loro pagine.

Come KSKAS attacca gli smartphone degli utenti

La strategia di KSKAS è particolarmente subdola: innanzitutto, una volta che l’utente ha eseguito il download di del file kskas.apk, questi cercherà di ottenere il consenso per l’installazione di un fantomatico Ks Cleaner, all’apparenza un Cache Cleaner ma nella realtà la porta d’accesso per guai molto peggiori di un task killer.

KSKAS malware
Il finto aggiornamento di KSKAS

KSKAS infatti interromperà la navigazione dell’utente per imporgli l’installazione di un finto aggiornamento di sistema, il quale naturalmente si rivela essere un file nascosto nella directory dell’applicazione infetta, privo di icona d’identificazione e nominato semplicemente “update”. Qualora disgraziatamente l’operazione dovesse andare a buon fine, KSKAS sarà riuscito ad ottenere l’accesso ad ogni sezione dello smartphone e solamente una formattazione completa della memoria riuscirà a rimuoverlo.

KSKAS adotta infatti un sistema particolarmente intelligente per impedire la rimozione classica di un’app che si attribuisca i permessi di amministrazione del dispositivo: normalmente, un’app che possieda questo tipo di concessioni non potrà essere disinstallata se non dopo la loro rimozione, procedendo in “Impostazioni” > “Sicurezza” > “Amministratori dispositivo”. Sfortunatamente, KSKAS riesce a registrarsi all’interno del sistema come un Android receiver, vanificando qualsiasi sforzo dell’utente.

Un Android receiver è un componente del sistema operativo che avvia in automatico un’azione in corrispondenza di una condizione stabilita dal programmatore – di base, lo stesso funzionamento che governa IFTTT; nel momento dunque in cui si tenti di rimuovere i permessi di amministrazione da KSKAS, questi disattiverà lo schermo per pochi secondi, riattivando il lockscreen tutelandosi contro ogni tentativo di disinstallazione.

KSKAS
Le pubblicità invasive visualizzate dal malware

L’azione del malware è poi sotto – ahimè – gli occhi dell’utente, poiché provvede a visualizzare fastidiosi banner pubblicitari direttamente nella Home, ma possiede i permessi necessari anche per:

  • leggere e modificare i Preferiti

  • modificare le Impostazioni

  • visualizzare contenuti in overlay

  • eseguire il download di contenuti senza alcuna notifica o segnalazione

Il tutto in comunicazione con il proprio server C&C (Comando&Controllo) che segnala tramite connessioni crittografate gli ordini da eseguire.

Come difendersi da KSKAS

Nonostante KSKAS sia stato segnalato principalmente all’interno del sito sopramenzionato, non è difficile che sia riuscito a diffondersi online attraverso il principio del malvertising: lo stesso laboratorio di ricerca autore della scoperta ha ammesso che i casi d’infezione spaziano dagli USA all’UK sino alla Francia, segno che il malware si sta spostando e potrebbe giungere in massicci volumi anche in Italia.

Il nostro consiglio, come sempre, è di evitare di installare qualsiasi file di cui non abbiate esplicitamente avviato il download, e di evitare di eseguire aggiornamenti di applicazioni o giochi se non all’interno del Play Store. Naturalmente, dotarsi di un antivirus potrebbe essere una saggia decisione.

I task killer sono dannosi: scopri QUI per quale motivo dovresti disinstallare immediatamente quello che hai già sullo smartphone!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//