Harly: il nuovo Trojan subscriber che circola su Google Play

  Assistenza e consulenza informatica Business, IT Security, MSP e infrastrutture, a Milano dal 2001.
Partner: Microsoft | Zyxel | F-secure | SentinelOne | Lenovo | Synology
Lun - Ven 08.00/18.00
Vai ai contenuti

Harly: il nuovo Trojan subscriber che circola su Google Play

PCDUE Assistenza COMPUTER e NOTEBOOK | Milano dal 2001
Pubblicato da Luca in Sicurezza · 28 Settembre 2022
Tags: #android#trojan#googleplay
Oggigiorno, è piuttosto comune trovare sullo store ufficiale di Google Play numerosi malware in quelle che sembrano, a prima vista, app innocue. Purtroppo, anche se la piattaforma viene controllata con attenzione, i moderatori non sempre riescono a individuare queste app prima che vengano pubblicate. Una delle varianti più popolari di questo tipo di malware è rappresentata dai Trojan subscriber, ovvero trojan che si iscrivono a servizi a pagamento all’insaputa dell’utente. Vi abbiamo già parlato delle famiglie più comuni che fanno parte di questo tipo di trojan. Oggi, ne analizzeremo un’altra: Harly. Questo trojan è simile al Trojan subscriber Jocker e per questo si chiama Harly, dal nome (leggermente alterato) della spalla del noto cattivo dei fumetti. I due Trojan hanno probabilmente origini comuni.
Il profilo dei Trojan Harly
Dal 2020 sono state trovate su Google Play più di 190 app infettate da Harly. Si stima che il numero di download di queste app sia di circa 4,8 milioni, ma la cifra reale potrebbe essere ancora più alta.

Proprio come i trojan Jocker, i trojan della famiglia Harly imitano le app legittime. Ma come agiscono? I truffatori scaricano app normali da Google Play, vi inseriscono un codice maligno e poi le caricano nuovamente su Google Play con un nome diverso. Le app possono ancora svolgere le funzioni elencate nella descrizione, quindi gli utenti potrebbero non sospettare la presenza di una minaccia.

La maggior parte dei membri della famiglia Jocker sono dei downloader multi-stage che ricevono il payload dai server C&C dei truffatori. I trojan della famiglia Harly, invece, contengono l’intero payload all’interno dell’app e utilizzano diversi metodi per decriptarlo e lanciarlo.

Come funziona il Trojan Harly
Prendiamo come esempio un’app chiamata com.binbin.flashlight (md5: 2cc9ab72f12baa8c0876c1bd6f8455e7), un’app torcia che è stata scaricata più di 10.000 volte da Google Play.

Quando l’app viene lanciata, viene caricata una libreria poco sicura.

La libreria decripta il file dalle risorse dell’app.

È interessante osservare che i creatori del malware hanno imparato a usare i linguaggi Go e Rust, ma per ora le loro capacità si limitano alla decrittazione e al caricamento dell’SDK dannoso.
Come altri Trojan subscriber, Harly raccoglie informazioni sul dispositivo dell’utente e in particolare sulla rete mobile. Il telefono dell’utente si collega a una rete mobile e quindi il Trojan chiede al server C&C di configurare l’elenco degli abbonamenti che devono essere sottoscritti.
Questo particolare trojan funziona solo con gli operatori tailandesi, quindi per prima cosa controlla gli MCC (dall’inglese, mobile country code), ovvero gli identificatori unici degli operatori di rete di ogni paesi, in questo caso, li controlla per assicurarsi che siano tailandesi.
Controllo degli MCC
Tuttavia, come MCC di prova utilizza il codice di China Telecom, il 46011. Questo e altri indizi suggeriscono che gli sviluppatori del malware si trovano in Cina.

Il trojan apre l’indirizzo di sottoscrizione in una finestra invisibile e, iniettando script JS, inserisce il numero di telefono dell’utente, seleziona i pulsanti richiesti e inserisce il codice di conferma da un messaggio di testo. Il risultato è che l’utente si ritrova con un abbonamento a pagamento senza rendersene conto.
Un’altra caratteristica degna di nota di questo Trojan è che può abbonarsi non solo quando il processo è protetto da un codice inviato via SMS, ma anche quando è protetto da una chiamata telefonica: in questo caso il Trojan effettua una chiamata a un numero specifico e conferma l’abbonamento.
I nostri prodotti rilevano le app dannose che abbiamo descritto qui come Trojan.AndroidOS.Harly e Trojan.AndroidOS.Piom.
Come proteggersi dai Trojan subscriber
Gli app store ufficiali combattono continuamente la diffusione di questo tipo di malware ma, come abbiamo visto, non sempre ci riescono. Prima di installare un’app, dovreste leggere le recensioni degli utenti e controllare la sua valutazione su Google Play.Naturalmente, è bene tenere presente che le recensioni e le valutazioni possono essere gonfiate. Per proteggersi da ogni forma di attacco ed evitare di cadere vittima di questo tipo di malware, vi consigliamo di installare una soluzione di sicurezza affidabile.


CAO s.a.s. di Maurizio Oliverio
Sede Legale: Viale Sondrio, 7
20124 Milano
P.I. 08966930961
Marchi e Loghi dei rispettivi proprietari.
Copyright 2001 - 2024
Dal 2001 PCDUE offre e sviluppa le migliori soluzioni per rendere la tua impresa competitiva e sicura, sfruttando le più recenti tecnologie informatiche.
La consulenza informatica si traduce in innovazione tecnologica, cybersecurity, procedure semplificate e sicurezza dei dati Aziendali.
Aiutiamo aziende di piccole e medie dimensioni nella progettazione dell’infrastruttura informatica adeguata per essere competitivi e vincenti sul mercato.
PCDUE si occupa di assistenza tecnica da oltre venti anni, garantendo ai propri clienti Business un servizio efficace ed efficiente. Le aziende a cui offriamo un servizio di assistenza PC sono di diversa tipologia: dalle microimprese fino alle aziende Enterprise, passando per le PMI, negozi e gli studi professionali appartenti a svariati settori.
Siamo Partner ufficiali dei più importanti player IT a livello mondiale.
Microsoft - Dell - Lenovo - WD - SentinelOne - Ninja Rmm - Synology - Zyxel
Siamo MSP ed eroghiamo servizi RMM.
La tecnologia è fondamentale per le aziende moderne. Di conseguenza, il professionista IT è diventato una delle figure chiave in ufficio: le sue azioni consentono di far funzionare tutta l'infrastruttura.
Non tutte le aziende dispongono però di personale IT. Esistono altri modi per soddisfare le esigenze IT di un'azienda senza dover creare un reparto IT in-house, l' Msp.
it security PCDUE
Ultimo aggiornamento del Sito 17/01/2024
Torna ai contenuti