Il ransom note Cerber è stato rilevato in una coppia di apps Android

I ricercatori di malware hanno rilevato una nota del ransom Cerber nel codice sorgente di due applicazioni Android. Le applicazioni Accechiamoli[red en-2] e ForzaFò, che includono il file infame README.hta, possono essere scaricati direttamente dallo store di Google Play. Questa scoperta può sembrare preoccupante e sconvolgente, potrebbe infatti significare che gli sviluppatori di questo pericoloso malware hanno deciso di espandere il loro campo di influenza. Ad ogni modo, vi possiamo garantire che non si tratta di un grosso problema. In realtà non è stata lanciata nessuna pericolosa campagna di malware indirizzata ai dispositivi Android. Il virus, infetta effettivamente solo gli utilzzatori del sistema operativo Windows. Quindi, i tifosi del Foggia Football Club non devono preoccuparsi della possibilità di essere infettati da questo ransomware.

Il team di sicurezza ESET ha effettuato la scansione di queste due applicazioni alla ricerca del payload dannoso di Cerber. Non hanno individuato, ad ogni modo, nessuna attività sospetta e potenzialmente pericolosa per i dispositivi Android. La scansione ha unicamente rilevato il file README.hta – il note ransom di Cerber. Secondo l’esperto di sicurezza mobile ESET Lukas Stefanko, una delle ragioni per cui questo file è finito su queste applicazioni è dovuto al fatto che lo sviluppatore Francesco Pio Recchia è stato una vittima di Cerber. Durante l’attacco, il virus ha scaricato note ransom in tutte le cartelle contenenti file criptati. Per questo motivo, se lo sviluppatore non havesse eseguito la rimozione di questi file, sarebbero rimasti inerti all’interno della cartella contenente l’icona dell’applicazione. Un altra assunzione suggerisce che lo sviluppatore delle icone usate per le applicazioni Accechiamoli e ForzaFò possa aver subito un attacco da parte di Cerber. Per questo motivo, le note del ransom potrebbero essere state rilasciate accidentalmente nella cartella delle icone. Nel frattempo, lo sviluppatore non facendo caso a questo ransomware lo avrebbe semplicemente copiato ed incollato nei file dell’applicazione. Il ransom note è passato per cui inosservato. Ad ogni modo, queste sono solo ipotesi. La verità sull’accaduto è al momento sconosciuta.

Tuttavia, i file HTA potrebbero essere impiegati per diffondere virus contenenti file criptati; non è questo il caso. Il file README.hta non è dannoso e non include il codice aggressivo di attacco. I programmi di sicurezza lo identificano come dannoso, ma la verità è che esso non può causare nessun danno al dispositivo. Include solamente istruzioni riguardanti le azioni che la vittima degli hackers dovrebbe compiere dopo l’attacco del ransomware. La nota del ransomware include informazioni riguardani il criptaggio di dati e richiede di pagare il ransom per riaverli indietro. Alle vittime viene chiesto di trasferire alcuni Bitcoins tramite particolari siti di pagamento dedicati a Cerber accessibili unicamente tramite il browser Tor. Ad ogni modo, vogliamo ricordarvi che le vittime del ransomware non dovrebbero seguire le indicazioni di questi criminali. Il pagamento del ransom non offre alcuna garanzia per il ripristino dei vostri files.

Riguardo l'autore
Gabriel E. Hall
Gabriel E. Hall - Appassionata di studi sui virus

Gabriel E. Hall è un'appassionata ricercatrice di malware che ha lavorato per senzavirus.it per quasi un decennio.

Contatta Gabriel E. Hall
Informazioni sulla compagnia Esolutions

Leggete in altri linguaggi