Malware Rogue: ad alto rischio il tuo cellulare Android, queste le app da eliminare

Il malware Rogue può rubare dati, eliminare file, installare applicazioni, effettuare chiamate, inviare messaggi di testo e registrare audio, tra le altre azioni.

I ricercatori di Check Point Research hanno scoperto un nuovo Mobile Remote Access Trojan (MRAT) che si maschera da gestore di dispositivi dietro i servizi standard di Google ed è in grado di assumere il controllo dello smartphone ed esfiltrare immagini, dati sulla posizione, contatti e messaggi, tra le altre cose.

Questo MRAT, chiamato Rogue, rappresenta una minaccia per i telefoni Android. Dopo essere stato installato su un nuovo dispositivo, Rogue inizia a chiedere alla vittima i permessi necessari e quando li ottiene nasconde la sua icona per evitare di essere rilevato.

Allo stesso tempo, se non riesce a ottenere i diritti di amministratore, il “malware” chiederà ripetutamente all’utente di concederli. Inoltre, se il proprietario del telefono infetto tenta di revocare i diritti, Rogue visualizza un messaggio che dice: “Sei sicuro di voler cancellare tutti i dati?“.

Le origini del Malware Rogue.

Rogue non solo può rubare foto, posizione, contatti e messaggi dell’utente, ma è anche in grado di accedere al microfono e alla fotocamera del dispositivo. Inoltre, il “malware” può effettuare chiamate e inviare messaggi di testo, registrare audio, acquisire schermate, eliminare file e installare applicazioni. Con Rogue è persino possibile accedere al database di WhatsApp ed eliminare tutti i messaggi salvati. Il Trojan monitora anche le chiamate in entrata e in uscita, con la possibilità di registrarle e può bloccare le chiamate da numeri specifici.

Rogue Android RAT emerge dal darkweb

Questo nuovo MRAT utilizza Google Firebase come una “maschera” per le comunicazioni con il server di comando e controllo esterno del suo operatore e ogni notifica che l’utente riceve viene salvata in un database locale e caricata su Firebase. Con questo, il “malware” separa le notifiche da Facebook, Instagram, WhatsApp, Skype e Telegram, tra gli altri, “che generalmente contengono dati più sensibili e preziosi”.

Check Point Research avverte che Rogue è tra una serie di applicazioni che dovrebbero essere rimosse:

Shortcut name (Visible to user in menu)Application name (visible in application properties)
AppleProtectse.spitfire.appleprotect.it
Axglecom.absolutelycold.axgle
Buzzorg.thoughtcrime.securesms
Google Play Servicecom.demo.testinh
Idea Securitycom.demo.testing
SecurItse.joscarsson.privify.spitfire
SecurItsc.phoenix.securit
Servicecom.demo.testing
Settingscom.demo.testing
Settingscom.hawkshawspy
Settingscom.services.deamon
wallpaper girlscom.demo.testing
Wifi Pasword Crackercom.services.deamon

Gli esperti consigliano anche di installare alcuni software antivirus affidabili e di controllare lo smartphone dopo aver rimosso queste applicazioni.

Rogue è stato creato da due diversi sviluppatori di malware Android, noti come Triangulum e HexaGoN Dev, e attualmente ci sono probabilmente centinaia di migliaia di telefoni infetti, un numero che potrebbe presto aumentare. Dato il modello di lavoro di questi sviluppatori  e le forti campagne di marketing, questo può cambiare rapidamente e renderlo molto popolare.