{"id":27229,"date":"2022-09-27T16:28:20","date_gmt":"2022-09-27T14:28:20","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27229"},"modified":"2022-09-27T16:44:26","modified_gmt":"2022-09-27T14:44:26","slug":"harly-trojan-subscriber","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/","title":{"rendered":"Harly: il nuovo Trojan subscriber che circola su Google Play"},"content":{"rendered":"

Oggigiorno, \u00e8 piuttosto comune trovare sullo store ufficiale di Google Play numerosi malware in quelle che sembrano, a prima vista, app innocue. Purtroppo, anche se la piattaforma viene controllata con attenzione, i moderatori non sempre riescono a individuare queste app prima che vengano pubblicate. Una delle varianti pi\u00f9 popolari di questo tipo di malware \u00e8 rappresentata dai Trojan subscriber, ovvero trojan che si iscrivono a servizi a pagamento all\u2019insaputa dell\u2019utente. Vi abbiamo gi\u00e0 parlato<\/a> delle famiglie pi\u00f9 comuni che fanno parte di questo tipo di trojan. Oggi, ne analizzeremo un\u2019altra: Harly. Questo trojan \u00e8 simile al Trojan subscriber Jocker e per questo si chiama Harly, dal nome (leggermente alterato) della spalla<\/a> del noto cattivo dei fumetti. I due Trojan hanno probabilmente origini comuni.<\/p>\n

Il profilo dei Trojan Harly<\/h2>\n

Dal 2020 sono state trovate su Google Play pi\u00f9 di 190 app infettate da Harly. Si stima che il numero di download di queste app sia di circa 4,8 milioni, ma la cifra reale potrebbe essere ancora pi\u00f9 alta.<\/p>\n

\"Esempi

Esempi di app presenti su Google Play che contengono il malware Harly<\/p><\/div>\n

Proprio come i trojan Jocker, i trojan della famiglia Harly imitano le app legittime. Ma come agiscono? I truffatori scaricano app normali da Google Play, vi inseriscono un codice maligno e poi le caricano nuovamente su Google Play con un nome diverso. Le app possono ancora svolgere le funzioni elencate nella descrizione, quindi gli utenti potrebbero non sospettare la presenza di una minaccia.<\/p>\n

\"Altri

Altri esempi di app su Google Play che contengono il malware Harly<\/p><\/div>\n

La maggior parte dei membri della famiglia Jocker sono dei downloader multi-stage<\/a> che ricevono il payload dai server C&C dei truffatori. I trojan della famiglia Harly, invece, contengono l\u2019intero payload all\u2019interno dell\u2019app e utilizzano diversi metodi per decriptarlo e lanciarlo.<\/p>\n

\"Recensioni

Recensioni di utenti che si lamentano dei costi<\/p><\/div>\n

Come funziona il Trojan Harly<\/h2>\n

Prendiamo come esempio un\u2019app chiamata com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), un\u2019app torcia che \u00e8 stata scaricata pi\u00f9 di 10.000 volte da Google Play.<\/p>\n

\"Un'app

Un\u2019app infettata dal Trojan Harly<\/p><\/div>\n

Quando l\u2019app viene lanciata, viene caricata una libreria poco sicura:<\/p>\n

\"Una

Una libreria pericolosa<\/p><\/div>\n

La libreria decripta il file dalle risorse dell\u2019app.<\/p>\n

\"Decriptazione

Decriptazione di un file dalle risorse dell\u2019app<\/p><\/div>\n

\u00c8 interessante osservare che i creatori del malware hanno imparato a usare i linguaggi Go<\/a> e Rust<\/a>, ma per ora le loro capacit\u00e0 si limitano alla decrittazione e al caricamento dell\u2019SDK<\/a> dannoso.<\/p>\n

Come altri Trojan subscriber, Harly raccoglie informazioni sul dispositivo dell\u2019utente e in particolare sulla rete mobile. Il telefono dell\u2019utente si collega a una rete mobile e quindi il Trojan chiede al server C&C di configurare l\u2019elenco degli abbonamenti che devono essere sottoscritti.<\/p>\n

Questo particolare trojan funziona solo con gli operatori tailandesi, quindi per prima cosa controlla gli MCC<\/a> (dall\u2019inglese, mobile country code<\/em>), ovvero gli identificatori unici degli operatori di rete di ogni paesi, in questo caso, li controlla per assicurarsi che siano tailandesi:<\/p>\n

\"Controllo

Controllo degli MCC<\/p><\/div>\n

Tuttavia, come MCC di prova utilizza il codice di China Telecom, il 46011. Questo e altri indizi suggeriscono che gli sviluppatori del malware si trovano in Cina.<\/p>\n

\"Test

Test MCC<\/p><\/div>\n

Il trojan apre l\u2019indirizzo di sottoscrizione in una finestra invisibile e, iniettando script JS, inserisce il numero di telefono dell\u2019utente, seleziona i pulsanti richiesti e inserisce il codice di conferma da un messaggio di testo. Il risultato \u00e8 che l\u2019utente si ritrova con un abbonamento a pagamento senza rendersene conto.<\/p>\n

Un\u2019altra caratteristica degna di nota di questo Trojan \u00e8 che pu\u00f2 abbonarsi non solo quando il processo \u00e8 protetto da un codice inviato via SMS, ma anche quando \u00e8 protetto da una chiamata telefonica: in questo caso il Trojan effettua una chiamata a un numero specifico e conferma l\u2019abbonamento.<\/p>\n

I nostri prodotti rilevano le app dannose che abbiamo descritto qui come Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.<\/p>\n

Come proteggersi dai Trojan subscriber<\/h2>\n

Gli app store ufficiali combattono continuamente la diffusione di questo tipo di malware ma, come abbiamo visto, non sempre ci riescono. Prima di installare un\u2019app, dovreste leggere le recensioni degli utenti e controllare la sua valutazione su Google Play.Naturalmente, \u00e8 bene tenere presente che le recensioni e le valutazioni possono essere gonfiate<\/a>. Per proteggersi da ogni forma di attacco ed evitare di cadere vittima di questo tipo di malware, vi consigliamo di installare una soluzione di sicurezza affidabile<\/a>.<\/p>\n\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Oggi vi spieghiamo come il trojan Harly prende di mira gli utenti Android.<\/p>\n","protected":false},"author":2492,"featured_media":27230,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[3175,70,175,441],"class_list":{"0":"post-27229","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-abbonamenti-a-pagamento","9":"tag-android","10":"tag-google-play","11":"tag-trojan"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/harly-trojan-subscriber\/27229\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/harly-trojan-subscriber\/24633\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/harly-trojan-subscriber\/20100\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/harly-trojan-subscriber\/10143\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/harly-trojan-subscriber\/27085\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/harly-trojan-subscriber\/24990\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/harly-trojan-subscriber\/25313\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/harly-trojan-subscriber\/27704\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/harly-trojan-subscriber\/34011\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/harly-trojan-subscriber\/11049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/harly-trojan-subscriber\/45573\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/harly-trojan-subscriber\/19501\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/harly-trojan-subscriber\/20062\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/harly-trojan-subscriber\/29306\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/harly-trojan-subscriber\/32616\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/harly-trojan-subscriber\/28493\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/harly-trojan-subscriber\/25478\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/harly-trojan-subscriber\/31046\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/harly-trojan-subscriber\/30738\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/android\/","name":"Android"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27229","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/2492"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=27229"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27229\/revisions"}],"predecessor-version":[{"id":27240,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/27229\/revisions\/27240"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/27230"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=27229"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=27229"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=27229"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}