Un trojan infetta migliaia di smartphone Android, che sappiamo di PlayPraetor
C’è un nuovo e terribile trojan per Android, chiamato PlayPraetor, che sta rapidamente infettando smartphone e tablet in ogni parte del mondo. Che cosa sappiamo
Gli esperti di sicurezza informatica hanno lanciato un nuovo allarme su un insidioso trojan per Android chiamato PlayPraetor. Questo malware, che sta rapidamente guadagnando terreno in tutto il mondo, ha già compromesso oltre 11 mila dispositivi tra smartphone e tablet.
Ciò che sta preoccupando i ricercatori, però, è una velocità di crescita decisamente allarmante con la rete di dispositivi infetti (la botnet) che aumenta a vista d’occhio, contando più di 2 mila nuove infezioni a settimana.
Come funziona PlayPraetor e perché è così pericoloso
PlayPraetor è un trojan di accesso remoto (RAT) gestito tramite un pannello di comando e controllo (C2) con sede in Cina. Sebbene le sue funzionalità di base siano simili ad altri trojan Android, si distingue per la sua continua evoluzione, cosa che lo rende estremamente difficile da debellare.
Le sue principali tattiche comprendono l’abuso dei servizi di accessibilità che vengono sfruttati dal malware per ottenere il controllo completo del dispositivo, permettendo agli aggressori di interagire in tempo reale con lo smartphone della vittima.
L’Overlay di false schermate di accesso con PlayPraetor che può sovrapporre finte pagine di login (arrivando a “clonare” quasi 200 app di banche e wallet di criptovalute) per rubare le credenziali delle vittime e dirottare i loro conti.
Phishing e distribuzione ingannevole, con gli hacker che usano questo malware per distribuire pagine fake e APK malevoli per amplificare ulteriormente la portata dell’infezione.
Importante sottolineare che PlayPraetor non è un singolo malware, ma un’operazione coordinata e modulare che comprende cinque varianti diverse, che stanno dando vita a un modello di business Malware-as-a-Service (MaaS) che può essere affittato o venduto a diversi operatori malevoli, che lo utilizzano per le proprie campagne.
Le varianti sono:
- PWA (Progressive Web Apps), che installa applicazioni web ingannevoli
- Phish (WebView-based), che utilizza app basate su WebView per il phishing
- Phantom (Persistence & C2), che sfrutta i servizi di accessibilità per un controllo del device
- Veil (Invite-code based phishing), che spinge gli utenti ad acquistare prodotti contraffatti
- RAT (EagleSpy & SpyNote), che consente il controllo remoto del dispositivo infetto
Al momento, la variante Phantom è la più diffusa ed è utilizzata per commettere diverse tipologie di frodi sul dispositivo infetto.
Come proteggersi da PlayPraetor
I consigli per proteggersi da questa nuova minaccia sono più o meno sempre gli stessi e, anzitutto, è sempre bene diffidare dai link sospetti inviati tramite SMS o pubblicità sui social media che reindirizzano a pagine di download di app solo in apparenza legittime.
Importante anche scaricare app solo da fonti ufficiali, cercando di restare solamente all’interno del Google Play Store e senza prelevare APK da siti di dubbia provenienza.
Utile anche controllare spesso le autorizzazioni concesse, cercando di non esagerare nell’accettare le richieste delle varie app.
Infine è fondamentale attivare l’autenticazione a due fattori (2FA) per app bancarie, wallet di criptovalute e altri servizi importanti.
