Harly: il nuovo Trojan subscriber che circola su Google Play

Oggi vi spieghiamo come il trojan Harly prende di mira gli utenti Android.

Oggigiorno, è piuttosto comune trovare sullo store ufficiale di Google Play numerosi malware in quelle che sembrano, a prima vista, app innocue. Purtroppo, anche se la piattaforma viene controllata con attenzione, i moderatori non sempre riescono a individuare queste app prima che vengano pubblicate. Una delle varianti più popolari di questo tipo di malware è rappresentata dai Trojan subscriber, ovvero trojan che si iscrivono a servizi a pagamento all’insaputa dell’utente. Vi abbiamo già parlato delle famiglie più comuni che fanno parte di questo tipo di trojan. Oggi, ne analizzeremo un’altra: Harly. Questo trojan è simile al Trojan subscriber Jocker e per questo si chiama Harly, dal nome (leggermente alterato) della spalla del noto cattivo dei fumetti. I due Trojan hanno probabilmente origini comuni.

Il profilo dei Trojan Harly

Dal 2020 sono state trovate su Google Play più di 190 app infettate da Harly. Si stima che il numero di download di queste app sia di circa 4,8 milioni, ma la cifra reale potrebbe essere ancora più alta.

Esempi di app presenti su Google Play che contengono il malware Harly

Esempi di app presenti su Google Play che contengono il malware Harly

Proprio come i trojan Jocker, i trojan della famiglia Harly imitano le app legittime. Ma come agiscono? I truffatori scaricano app normali da Google Play, vi inseriscono un codice maligno e poi le caricano nuovamente su Google Play con un nome diverso. Le app possono ancora svolgere le funzioni elencate nella descrizione, quindi gli utenti potrebbero non sospettare la presenza di una minaccia.

Altri esempi di app su Google Play che contengono il malware Harly

Altri esempi di app su Google Play che contengono il malware Harly

La maggior parte dei membri della famiglia Jocker sono dei downloader multi-stage che ricevono il payload dai server C&C dei truffatori. I trojan della famiglia Harly, invece, contengono l’intero payload all’interno dell’app e utilizzano diversi metodi per decriptarlo e lanciarlo.

Recensioni di utenti che si lamentano dei costi

Recensioni di utenti che si lamentano dei costi

Come funziona il Trojan Harly

Prendiamo come esempio un’app chiamata com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), un’app torcia che è stata scaricata più di 10.000 volte da Google Play.

Un'app infettata dal Trojan Harly

Un’app infettata dal Trojan Harly

Quando l’app viene lanciata, viene caricata una libreria poco sicura:

Una libreria pericolosa

Una libreria pericolosa

La libreria decripta il file dalle risorse dell’app.

Decriptazione di un file dalle risorse dell'app

Decriptazione di un file dalle risorse dell’app

È interessante osservare che i creatori del malware hanno imparato a usare i linguaggi Go e Rust, ma per ora le loro capacità si limitano alla decrittazione e al caricamento dell’SDK dannoso.

Come altri Trojan subscriber, Harly raccoglie informazioni sul dispositivo dell’utente e in particolare sulla rete mobile. Il telefono dell’utente si collega a una rete mobile e quindi il Trojan chiede al server C&C di configurare l’elenco degli abbonamenti che devono essere sottoscritti.

Questo particolare trojan funziona solo con gli operatori tailandesi, quindi per prima cosa controlla gli MCC (dall’inglese, mobile country code), ovvero gli identificatori unici degli operatori di rete di ogni paesi, in questo caso, li controlla per assicurarsi che siano tailandesi:

Controllo degli MCC

Controllo degli MCC

Tuttavia, come MCC di prova utilizza il codice di China Telecom, il 46011. Questo e altri indizi suggeriscono che gli sviluppatori del malware si trovano in Cina.

Test MCC

Test MCC

Il trojan apre l’indirizzo di sottoscrizione in una finestra invisibile e, iniettando script JS, inserisce il numero di telefono dell’utente, seleziona i pulsanti richiesti e inserisce il codice di conferma da un messaggio di testo. Il risultato è che l’utente si ritrova con un abbonamento a pagamento senza rendersene conto.

Un’altra caratteristica degna di nota di questo Trojan è che può abbonarsi non solo quando il processo è protetto da un codice inviato via SMS, ma anche quando è protetto da una chiamata telefonica: in questo caso il Trojan effettua una chiamata a un numero specifico e conferma l’abbonamento.

I nostri prodotti rilevano le app dannose che abbiamo descritto qui come Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.

Come proteggersi dai Trojan subscriber

Gli app store ufficiali combattono continuamente la diffusione di questo tipo di malware ma, come abbiamo visto, non sempre ci riescono. Prima di installare un’app, dovreste leggere le recensioni degli utenti e controllare la sua valutazione su Google Play.Naturalmente, è bene tenere presente che le recensioni e le valutazioni possono essere gonfiate. Per proteggersi da ogni forma di attacco ed evitare di cadere vittima di questo tipo di malware, vi consigliamo di installare una soluzione di sicurezza affidabile.

 

Consigli