Malware Android con estorsione: chiamato LeakerLocker, minacciate le nostre info personali

Nuovo malware Android chiamato LeakerLocker minaccia di condividere le informazioni private e la storia di navigazione delle vittime a tutti i loro contatti, provocando potenziali imbarazzi o peggio.

Secondo McAfee, piuttosto che crittografare i file, il malware afferma di aver eseguito un backup non autorizzato di informazioni sensibili del telefono che potrebbero essere trapelate ai contatti di un utente a meno che non riceva “un modesto riscatto” che al momento della scrittura di questo articolo e di circa 50 €.

Malware LeakerLocker trovato in due applicazioni nel Google Play

È stato trovato in due applicazioni nel Google Play, Blur HD e Booster & Cleaner Pro, entrambi i quali dispongono di migliaia di download. Entrambi sono trojan che offrono funzioni apparentemente normali, ma chiedono autorizzazioni eccessive (come la capacità di accedere alle chiamate, la lettura e l’invio di SMS e l’accesso ai contatti).

Una volta installato, LeakerLocker blocca la schermata iniziale e utilizza tali autorizzazioni per accedere all’indirizzo email della vittima, ai contatti, la cronologia di Chrome, alcuni messaggi di testo e chiamate, immagini dalla fotocamera e alcune informazioni sul dispositivo. Se una vittima paga la tassa di estorsione, viene visualizzata una finestra che dice: “I tuoi dati personali [sic] sono stati eliminati dai nostri server e la tua riservatezza è protetta”.

I ricercatori di McAfee hanno avvertito che l’applicazione può anche caricare in remoto il codice dal proprio server di controllo “per cui la funzionalità può essere imprevedibile, estesa o disattivata per evitare il rilevamento in determinati ambienti”.

Il malware è un po’ confuso tuttavia: bit e informazioni sono scelte casualmente per mostrare e convincere le vittime che tutti i loro dati sono stati copiati. In realtà, è molto improbabile che gli autori abbiano fatto copie complete delle informazioni.

“Ciò che vale la pena notare però è il fatto che l’app rogue, trovata nel Google Play Store, potrebbe non dire tutta la verità su quanti dati utente ha archiviato sul server dell’autore: solo una quantità limitata di informazioni invece in realtà ha pulito solo “, ha detto Lee Munson, ricercatore di sicurezza presso Comparitech.com. “Quindi le vittime dovrebbero pensare con molta attenzione prima di pagare. Mentre le prime indicazioni suggeriscono che il pagamento del ransomware potrebbe comportare l’eliminazione di eventuali dati rimossi, è pericoloso perché finisce per incoraggiare gli autori di malware a continuare a creare ransomware come questo.

Chi dice che il creatore di LeakerLocker non sta creando backup dei dati che ruba?

I consumatori tuttavia, sono tentati a cadere nella trappola, grazie alla nostra natura umana.

“Sfruttando la recente tendenza dei ransomware che richiedono soldi per il ritorno di dati crittografati, il modello di business di LeakerLocker ha un potenziale molto più lucrativo, attingendo un enorme potenziale di utenti Android che hanno bisogno di pagare il valore di soli 50€ per evitare di essere messo in discussione” Munson aggiunto.

Ken Spinner, vice presidente dell’ingegneria del campo a Varonis, ha dichiarato che questo primo esempio di extortionware potrebbe essere solo l’inizio.

“LeakerLocker è un buon caso di prova per gli extortionware, che ha ancora pochi ostacoli da eliminare. Ransomware crittografa i dati senza effettivamente rubarli “, ha detto. “L’Extortionware deve ignorare gli strumenti tradizionali di monitoraggio della rete che vengono costruiti, per rilevare quantità insolite di dati lasciati dagli utenti nella rete o nel proprio dispositivo. Naturalmente, le informazioni potrebbero essere cancellate via lentamente o nascosti come traffico web benigno o DNS “.

Ha aggiunto: “Un futuro probabile è quello in cui gli autori di ransomware crittografano e nascondono i tuoi dati.” Google afferma che sta investigando le applicazioni.

Via