Malware Android distribuito da falso sito Poste Italiane

L’attività di Brand Monitor svolta da D3Lab fornisce informazioni utili a monitorare diverse tipologia di minacce, dallo spear-phishing, alla diffusione di malware e phishing tradizionale.

Operando in tale ambito è facile accorgersi come alcune società siano più colpite dal fenomeno della creazione di domini ad-hoc a scopo illecito, non sempre assimilabili al typosquatting, in quanto non creati con l’alterazione di nomi o parole, bensì con concatenazione di termini corretti, nomi di directory, file ed anche servizi.

Poste Italiane sembra essere, in base ai rilievi D3Lab, una delle società più colpite da tale fenomeno:

con la creazione di oltre 70 domini con nomi ad essa riconducibili in nemmeno due mesi (rilievi 01/02/17-23/03/17).

Non sempre però, si tratta di pagine che cercano di acquisire direttamente credenziali personali, numeri di carta di credito o altri dati sensibili, come nel caso del dominio poste-postpay.net dalle cui pagine veniva proposta l’installazione di una applicazione Android Poste Italiane, in realtà un malware Android Trojan.

Il dominio creato a supporto della distribuzione del malware è stato individuato attraverso l’analisi di reverse whois su precedente sito di phishing a danno di Poste Italiane.
La tecnica usata consiste nell’individuare il nominativo o la mail di chi ha registrato il sito di phishing ed effettuare poi una ricerca sul db dei whois per evidenziare se la stessa persona ha registrato altri siti simili.

Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stesa persona.
Il layout del falso sito PosteIT, come si vede dagli  screenshots, era ottimizzato per dispositivi mobili, e dopo una prima schermata di falso login

propone il download di una ‘Banco Poste Security Module App’

e di seguito le istruzioni per l’installazione sul dispositivo mobile.

Il file scaricato  risultava ad una analisi di VirusTotal chiaramente come un malware

Da notare anche come l’applicazione apk che viene installata abbia tra le sue caratteristiche la possibilità di acquisire permessi di scrittura e lettura di SMS, effettuare chiamate telefoniche, ecc…..

cosa che denota le caratteristiche malevole del file PostePay.apk

In questo screenshot vediamo la fase di attivazione del programma, dove si nota la presenza del logo Postepay.

Come sempre in questi casi vale la regola di evitare di installare software di cui non sia certa la fonte, verificando con attenzione sia l’indirizzo del sito utilizzato, ma anche il file scaricato ad esempio attraverso siti di scansione malware online come Virus Total.