SMSFactory, un malware che tiene sotto scacco milioni di utenti nel mondo

Almeno otto nazioni pesantemente coinvolte. Forse anche l’Italia funestata da una diffusa campagna di un malware che sta colpendo a ripetizione i conti di milioni di utenti, sottraendo ingenti quantità di denaro.

Russia, Brasile, Argentina, Turchia, Ucraina, Stati Uniti, Francia e Spagna, Italia in maniera minori alla mercé di SMSFactory, un malware TrojanSMS che si abbona di nascosto a servizi premium, togliendo denaro a ignari utenti.

E’ stato scovato da Avast, un software antivirus sviluppato dalla omonima azienda di Praga, il primo programma antivirus funzionante su architettura x86-64, il primo anche offrire una virtualizzazione automatica tramite sandbox, disponibile dalla versione 6, gratuitamente.

I danni di SMSFactory, una volta installato

Il modus operandi è più o meno simile ad altri malware. Tutto nasce da un SMS premium, effettuando chiamate a numeri di telefono a tariffa maggiorata. Questi numeri sembrano far parte di uno schema di conversione, in cui l’SMS include un numero di conto, che identifica chi dovrebbe ricevere il denaro per i messaggi inviati.

Se lasciato inosservato, rivela Avast, può accumulare bollette telefoniche elevate, fino a 7 dollari a settimana o 336 dollari all’anno, lasciando una spiacevole sorpresa alle vittime: un conto prosciugato.

Secondo la ricerca, il malware si sta diffondendo tramite malvertising, notifiche push e avvisi visualizzati su siti che offrono hack di giochi, contenuti per adulti o siti di streaming video gratuiti, servendo il malware mascherato da app in cui gli utenti possono accedere a giochi, video o contenuto per adulti.

All’utente viene richiesto di scaricare un file creato per assomigliare al sito da cui è stato reindirizzato. Una volta che l’utente fa clic su Download, l’app dannosa viene scaricata. Poiché proviene da una fonte di terze parti, il sito web richiederà all’utente di ignorare l’avviso Play Protect integrato di Android e di procedere con l’installazione. Il danno è ormai fatto

Una volta installato, l’utente viene accolto con una schermata di benvenuto. Facendo clic su Accetta si attiverà il comportamento dannoso dell’app, che presenta all’utente un menu di base di video, contenuti per adulti e giochi che non funzionano o non sono disponibili per la maggior parte del tempo.

SMSFactory utilizza diversi trucchi per rimanere sul dispositivo della vittima e non essere rilevato. Ha un’icona vuota ed è in grado di nascondere la sua presenza all’utente, rimuovendo l’icona stessa dell’app dalla schermata principale. Inoltre, viene fornito senza il nome dell’applicazione, rendendo più difficile per l’utente scoprire l’applicazione incriminata e rimuoverla.

È evidente che il malware si basa sul fatto che l’utente dimentica l’app sul proprio telefono. Una volta nascosto, SMS Factory comunica con un dominio preimpostato, inviando un ID univoco assegnato al dispositivo, la sua posizione, il numero di telefono, le informazioni sull’operatore e il modello del cellulare. Avast ha protetto oltre 165.000 utenti da SMSFactory. Troppi pochi rispetto ai danni procurati.