Alien è un nuovo malware per Android e sta prendendo di mira gli utenti di app bancarie e app crypto. Rischia dunque di essere un pericolo da non sottovalutare per i proprietari di Bitcoin e di altre criptovalute le cui transazioni avvengono esclusivamente online.

Malware Alien: le origini

Secondo una ricerca condotta dagli esperti di sicurezza informatica di ThreadFabric, Alien deriva dal codice sorgente di Cerberus, un trojan diffuso fino a qualche mese fa e che ha creato diversi problemi al Google Play Store, ma è più potente. Cerberus è stato debellato grazie all'intervento di Google e dei principali antivirus presenti sul mercato.

Ondrej David, a capo del team di Malware Analysis in Avast, ha spiegato che Cerberus, dopo l’installazione, è in grado di andare a sovrapporsi a un’app bancaria preesistente sullo smartphone, restando in attesa che l’utente acceda al suo conto. Successivamente presenta una falsa schermata di login e ruba le credenziali bancarie, così come i messaggi di testo o eventuali codici di autenticazione a due fattori inviati tramite sms

Il funzionamento di Alien è analogo a quello di Cerberus: si tratta infatti di un software malevolo con funzioni particolarmente avanzate tra le quali quella di intercettare le notifiche del dispositivo infetto.

Il codice di Alien è stato rilasciato come Malware-as-a-Service (MaaS) ed è a disposizione tramite abbonamento nei forum del dark web di chiunque voglia sfruttarlo a fini illeciti.

Come agisce il malware Alien?

Alien colpisce 226 app Android, nella maggior parte dei casi legate al mondo bancario. Tra le app più colpite quelle di Coinbase e Blockchain.com, mentre non ha subito attacchi Binance.

Il malware Alien permette agli hacker di rubare le credenziali d’accesso, installare e rimuovere applicazioni dal dispositivo infettato, e persino intercettare le notifiche. È presente anche una funzione RAT (Remote Access Trojan) che sfrutta l'applicazione TeamViewer e che permette agli hacker di completare la frode direttamente dal dispositivo della vittima senza mai rilevare la propria presenza.

App e programmi colpiti da Alien

Una volta entrato nel dispositivo grazie ad altre app disponibili nel Google Play Store, Alien crea false schermate di login e ruba le credenziali memorizzate nello smartphone. La lista dei permessi che il malware può ottenere una volta installato è decisamente lunga e comprende la possibilità di installare e rimuovere app, bloccare lo schermo, leggere gli SMS e inviarne a sua volta, accedere alla lista contatti e registrare la geolocalizzazione. Ma non è tutto: Alien riesce anche ad estrapolare i codici 2FA (Two factor authentication) generati da app come Google Authenticator.

(Claudia Cervi)