Alien torna a far tremare Android. Non si tratta della creatura della saga di Ridley Scott ma di uno spaventoso malware capace di rubare le credenziali utilizzate in ben 226 applicazioni. Attivo già a partire dall’inizio dell’anno, questo pericoloso codice è stato rilasciato come Malware-as-a-Service (MaaS), ovvero a disposizione di chi lo volesse utilizzare per scopi illeciti grazie a un abbonamento mensile.

Sebbene lo studio del codice sorgente di quello che nasce come Banking Trojan sia ancora oggetto di studio, i ricercatori esperti di sicurezza informatica di ThreatFabric sarebbero già all’opera per individuare le possibili evoluzioni del malware. Nel report rilasciato questa settimana, emergono molte delle sue caratteristiche, come la capacità di controllare completamente l’interfaccia del dispositivo del malcapitato utente, con privilegi che partono dal cambio delle impostazioni all’installazione, utilizzo e rimozione delle app. Ultima ma non meno importante, l’opportunità di monitorare lo smartphone in tempo reale, permettendo di conoscere e studiare il comportamento dell’utente senza mai rivelare la propria presenza dall’altra parte dello schermo.

Alien: cos’è e da dove proviene

Il nuovo malware non è poi così nuovo. Infatti, secondo i pareri degli esperti informatici che hanno avuto l’opportunità di analizzarlo, Alien sarebbe un prodotto derivato dal codice sorgente di Cerberus, altro trojan bancario per Android.

A qualcuno questo nome non suonerà del tutto estraneo. Il MaaS è infatti finito sotto i riflettori non solo per la sua pericolosità ma anche per un ulteriore fatto curioso. Dopo aver tentato e fallito la vendita all’asta del codice sorgente, il suo creatore ha scelto – ufficialmente per mancanza di tempo, ma verosimilmente per paura di rimanere invischiato in ben più rischiosi affari legali – di rilasciarlo gratuitamente alla comunità hacker che popola il Dark Web.

La storia di Cerberus, oggi, sembra essere giunta alla conclusione. A decretarla sarebbe stata proprio Google che, per merito del suo team di sicurezza, avrebbe trovato un metodo per rilevarne la presenza ed eliminarlo dai dispositivi infetti. Questo escamotage non sembra però applicabile ad Alien, nonostante i due malware condividano parte del codice, tanto da considerarlo una minaccia di tutto rispetto in grado di coprire il posto lasciato vacante dal suo predecessore nella classifica dei rischi informatici.

Alien: come funziona il malware

Una volta entrato nel device, Alien ha praticamente carta bianca. Mostrando false schermate di login, il malware è in grado di rubare password dalle app o, come già accennato, accedere ai contenuti delle applicazioni come farebbe un normalissimo utente.

Anche la rubrica e gli sms sono a rischio: Alien è infatti in grado di carpire la lista contatti, leggere e inviare messaggi senza destare alcun sospetto. Altrettanto pericolose sono le feature che permettono di rubare i codici 2FA generati dalle app di autenticazione o registrare la geolocalizzazione, comunicando ogni spostamento effettuato.

Alien: dove si è diffuso maggiormente il malware

A interessare gli hacker che se ne servono sarebbero principalmente le app bancarie di alcune nazioni, come Italia, Spagna, Germania, Stati Uniti, Francia, Regno Unito, Polonia, Turchia Australia.

Le app bancarie non sono però le sole a rischio: infatti, tra gli obiettivi di Alien ci sarebbero anche quelle dedicate ai social network (Facebook, Twitter per citarne alcune), all’instant messaging (Telegram e WhatsApp) e alla posta elettronica (come Gmail).