Prendo spunto dall'articolo pubblicato da http://www.apilabs.it/ dal titolo 'Android malware: nuova app per Adobe Flash Player” per una breve analisi di quanto attualmente esiste in rete anche collegato a questo falso player Flash.
Vedremo infatti che partendo da una singola segnalazione possiamo rilevare una notevole quantita' di files malware AP attualmente distribuiti in rete.
Anche se si tratta, almeno per alcuni dei files rilevati di contenuti mirati ad utenti in lingua russa, il fatto che la fonte dei file malevoli presenti whois UK non esclude che utenti di altre nazionalita' possano essere coinvolti nel downloads.
La segnalazione originaria vedeva analizzato un risultato di ricerca Google che presentava link a pagina che proponeva download di applicazione APK Android spacciata come adobe_flash_player_11.apk.
In effetti una ricerca in rete porta a diversi links tra cui l'originario citato nell'articolo ma anche altri su indirizzi web e sempre con dominio .RU.
Il fatto che venga proposto un install di fake playerFlash e' un 'classico'' della distribuzione malware vista in ambiente Windows poiche' lo stesso player e' di solito associato a siti fake (spesso dai contenuti porno) come essenziale alla visione dei filmati (in realta' non esistenti ma limitati ad immagini di player video) e il download si risolve in un eseguibile malware fatto appunto passare per install flash player.
Ecco un tipico esempio online tra le decine presenti in rete:
Tornando al falso install di flash player ecco i risultati della ricerca sia con la pagina gia' segnalata anche da www.apilabs.it/
In entrambi i casi si nota il riferimento a Flash player anche se con differente nome del file .
Iniziamo l'analisi dalla pagina
rilevando che il file apk linkato viene visto da una analisi VT come
con
Un superficiale esame dei contenuti del file .apk ci mostra nel folder 'asset' questa struttura
che evidenzia in dettaglio
Si tratta di files html che costituiscono parte del fake install flash e di cui vediamo qualche dettaglio della barra animata di caricamento file
e
ed anche un link a sito dai dubbi contenuti apk
attraverso alcuni redirect
La stessa cosa si ripete anche per il file scaricato da altro fake sito di player flash.
Notate come l'host del file apk sia sempre il medesimo con whois USA e data molto recente di registrazione.
Dato che e' poco probabile che ci si limiti solo a 'simulare' un fake flash player ma la distribuzione malware per Android veda una vasta scelta di software malevolo proposto come legittimo, proviamo a vedere se il medesimo indirizzo web del link che compare nelle pagine del fake Flash install apk, puo' essere utilizzato per proporre altre false applicazioni Android.
Ecco che variando parte della URL otteniamo
con evidente proposta di una ampia scelta di files probabilmente tutti con contenuti malevoli o comunque che non sono quello che il loro nome lascerebbe pensare.
Ecco, ad esempio, un file apk dal nome android_minecraft.apk
che fa probabilmente riferimento a questo legittimo software distribuito su Google Play
Estraendo i contenti del file in questione, ricordo scaricato attraverso la variazione della chiave numerica della URL vista sopra, otteniamo
Guarda caso praticamente la stessa struttura del fake player flash visto ad inizio post.
Nel dettaglio ecco uno dei codici html
mentre l'analisi VT rileva stesso risultato del fake player Flash.
con
Si tratta sempre di software che invia probabilmente SMS a pagamento ed anche propone links a pagine dai dubbi contenuti.
Sempre sul medesimo sito linkati da differente codice numerico passato nella URL troviamo anche questo file
con
il cui contenuto malware e' diverso dai precedenti (ad una analisi VT).
E' quindi possibile che detto recente dominio che funge da vero e proprio repository di fake applicazioni Android sia utilizzato non solo per distribuire il fake player Flash ma anche altri fake apk in maniera estesa e non solamente limitata ad utenti est europei della rete.
Edgar
Nessun commento:
Posta un commento