LeakerLocker è l’ultima minaccia ransomware per smartphone Android, un virus che colleziona i dati personali e chiede un riscatto per non divulgarli. Il CERT (Computer Emergency Response Team) nazionale italiano ha divulgato un comunicato stampa in cui si specificano le app presenti sul Play Store in cui il virus è nascosto.
Un problema non da poco: di solito malware e ransomware sono nascosti all’interno di applicazioni e giochi presenti su store alternativi. Una delle regole d’oro che proponiamo sempre a voi lettori è quella di non scaricare app da fonti non ufficiali ma solo dallo store ufficiale di Google, il Play Store.
LeakerLocker invece è riuscito ad evitare i severi controlli di sicurezza automatizzati di Google, annidandosi all’interno di applicazioni e giochi. E’ stato rintracciato nel Play Store, fin’ora, in due applicazioni: “Wallpapers Blur HD”, un’app per modificare gli sfondi del cellulare e “Booster & Cleaner Pro”, un’app che millanta di poter velocizzare il vostro smartphone.
Entrambe le app sono state ora rimosse dal Play Store, ma prima di essere eradicate dallo store sono state scaricate da decine di migliaia di utenti. Alcuni utenti potrebbero averle ancora installate ed essere quindi inconsapevoli del pericolo che corrono.
La minaccia di LeakerLocker è legata alla natura del suo attacco. Quello che fa non è, come visto per NotPetya e WannaCry, bloccare l’accesso ai dati utente chiedendo un riscatto. Il riscatto richiesto, pari a 50$ da versare in cryptovaluta (Bitcoin e simili, NdR) serve per assicurarsi che i dati personali non siano pubblicati.
Le due applicazioni infatti richiedono un gran numero di autorizzazioni da parte dell’utente per poter “funzionare correttamente”. Una volta ottenute le autorizzazioni, le due app registrano una gran mole di dati: foto, numeri di telefono presenti nella rubrica, SMS, conversazioni Facebook, cronologia di navigazione Chrome, email e cronologia delle posizioni GPS.
Quello che è più sconcertante però è la scoperta del CERT sulla natura del ricatto. Nel codice di LeakerLocker non è infatti presente il codice necessario all’invio di dati ad un server remoto.
In sostanza, LeakerLocker fa leva sulla paura psicologica (e terrificante, NdR) che i nostri dati personali possano essere divulgati. Nella realtà il riscatto che chiede (ransom in lingua inglese, NdR) è fasullo. I ricercatori del CERT però avvisano che questa funzionalità potrebbe essere aggiunta dinamicamente in seguita, aggiornando il malware attraverso server C&C.
