Oblivion, il nuovo malware Android che controlla il telefono da remoto: come proteggersi

Oblivion, il nuovo malware Android che controlla il telefono da remoto: come proteggersi

Cos’è Oblivion e perché rappresenta una minaccia seria

Oblivion è un trojan di accesso remoto (RAT) scoperto dai ricercatori di sicurezza di Certo che consente ai criminali di prendere il controllo totale del tuo smartphone Android senza che tu te ne accorga. A differenza di altri malware, Oblivion è stato testato per quattro mesi in scenari reali prima di essere messo in vendita nei forum di hacking internazionali, il che lo rende particolarmente affidabile e pericoloso.

Il malware colpisce i dispositivi con Android 8 fino ad Android 16, praticamente la totalità degli smartphone attualmente in circolazione. Viene distribuito attraverso app malevole camuffate da applicazioni legittime e finti aggiornamenti di Google Play, rendendo difficile per gli utenti riconoscere la minaccia prima dell’installazione.

La soluzione immediata: non scaricare app da fonti non ufficiali, verifica sempre i permessi richiesti dalle applicazioni e mantieni il tuo dispositivo aggiornato con le patch di sicurezza più recenti.

Come funziona Oblivion: il meccanismo di infezione

Oblivion utilizza un sistema sofisticato per infettare i dispositivi. I criminali sfruttano un APK Builder basato sul web che consente loro di creare applicazioni maligne camuffate da servizi legittimi, come “Google Services”. Quando l’utente installa l’app compromessa, il malware inizia a operare in background.

Il trojan include anche un Dropper Builder che genera finti popup di aggiornamento del sistema. Mentre sulla schermata del dispositivo appare un’animazione “Aggiornamento in corso”, il criminale naviga liberamente tra le tue app, SMS, email e portafogli crittografici. Questa schermata di aggiornamento falsa è così realistica da imitare perfettamente gli aggiornamenti ufficiali di Google Play, rendendo difficile per gli utenti distinguere la differenza.

L’aggravante: il bypass automatico dei permessi

Ciò che rende Oblivion particolarmente pericoloso è la sua capacità di aggirare automaticamente i permessi di Android senza richiedere l’interazione dell’utente. Normalmente, Android chiede all’utente di approvare permessi sensibili come l’accesso alla fotocamera, al microfono o all’Accessibility Service. Oblivion bypassa completamente questi controlli di sicurezza.

Il malware è in grado di aggirare le protezioni di MIUI (Xiaomi), One UI (Samsung), ColorOS (OPPO), MagicOS (Honor) e OxygenOS (OnePlus). Su Android 15 e 16, Oblivion silenza completamente i dialoghi di permesso, concedendo all’attaccante il controllo totale del dispositivo senza che l’utente riceva alcuna notifica.

Il controllo remoto invisibile: VNC e Hidden VNC

Oblivion impiega la tecnologia VNC (Virtual Network Computing) per l’accesso remoto live, ma aggiunge un livello ulteriore di stealth con Hidden VNC (HVNC). Questa funzione crea una sessione di controllo remoto completamente invisibile alla vittima.

Mentre l’utente vede la schermata falsa di aggiornamento del sistema, l’attaccante controlla interattivamente il dispositivo in background. Può toccare lo schermo, navigare tra le app, leggere messaggi e accedere a qualsiasi dato memorizzato sul telefono. La vittima rimane completamente all’oscuro di ciò che sta accadendo.

Il furto di dati sensibili: accesso a SMS, 2FA e informazioni bancarie

Oblivion è equipaggiato con un modulo Screen Reader che bypassa le protezioni anti-screenshot delle app bancarie e dei portafogli crittografici. Invece di catturare screenshot (che le app proteggono), il malware estrae il contenuto direttamente dall’interfaccia, esponendo informazioni sensibili come dettagli di conto e attività di portafoglio.

Il trojan registra tutto ciò che gli attaccanti potrebbero desiderare:

  • SMS e codici 2FA (autenticazione a due fattori)
  • Notifiche da app di messaggistica e social media
  • Registrazioni dei tasti premuti (keylogger)
  • Elenco delle app installate
  • File e documenti memorizzati sul dispositivo
  • Credenziali salvate nel browser

Oblivion può persino auto-sbloccare il dispositivo utilizzando le credenziali catturate, permettendo agli attaccanti di accedere al telefono anche quando è bloccato.

La persistenza e la prevenzione della rimozione

Oblivion non è facile da rimuovere. Il malware implementa difese anti-rimozione che impediscono agli utenti di disinstallarlo o revocare i permessi dell’Accessibility Service. Una volta infettato il dispositivo, l’attaccante mantiene il controllo anche se l’utente tenta di eliminare l’app.

L’infrastruttura di Oblivion supporta oltre 1.000 sessioni attive simultaneamente, tutte instradate attraverso reti anonimizzanti come Tor per garantire resilienza e nascondere l’identità degli attaccanti.

Come proteggersi da Oblivion e da malware simili

Ecco le misure concrete che puoi adottare subito:

  1. Scarica app solo da Google Play Store: evita il sideloading e non installare app da fonti sconosciute o link sospetti
  2. Verifica i permessi richiesti: prima di installare un’app, controlla quali permessi richiede. Se una semplice app di utilità chiede accesso alla fotocamera o ai contatti, è un segnale di allarme
  3. Disabilita l’installazione da fonti sconosciute: vai in Impostazioni > Sicurezza e assicurati che l’installazione da fonti sconosciute sia disattivata
  4. Controlla l’Accessibility Service: vai in Impostazioni > Accessibilità e verifica quali app hanno accesso a questo servizio. Revoca l’accesso alle app che non ne hanno bisogno
  5. Mantieni il dispositivo aggiornato: installa sempre gli ultimi aggiornamenti di sicurezza di Android e delle app
  6. Usa un’app antivirus affidabile: installa un’app di sicurezza mobile da uno sviluppatore rinomato
  7. Abilita Google Play Protect: questa funzione scansiona le app installate alla ricerca di malware

Altre minacce Android da conoscere

Oblivion non è l’unica minaccia nel panorama dei malware Android. Cellik è un altro RAT che si maschera come app legittima e utilizza la funzione di overlay per simulare schermate di accesso e rubare credenziali. G700 è un trojan avanzato basato su CraxsRAT che può intercettare SMS, codici 2FA e persino distribuire ransomware.

Questi malware condividono caratteristiche comuni: sfruttano la fiducia degli utenti, bypassano le protezioni di Android e forniscono ai criminali il controllo totale del dispositivo.

Technical Deep Dive

Architettura tecnica di Oblivion

Oblivion è costruito con un’architettura modulare che separa il builder dal dropper dal payload finale. Il web-based APK Builder consente agli operatori di personalizzare il payload con:

  • Selezione di app legittime da Google Play da incapsulare
  • Configurazione dei parametri C2 (Command and Control)
  • Scelta dei moduli da includere (Screen Reader, keylogger, SMS interceptor)
  • Impostazione dei parametri di persistenza

Meccanismi di bypass delle protezioni Android

Oblivion bypassa le protezioni di Android attraverso:

  1. Accessibility Service abuse: l’app richiede l’Accessibility Service per “migliorare l’accessibilità”, ma lo utilizza per simulare tocchi dello schermo e navigare senza interazione dell’utente
  2. Silent permission granting: su Android 15 e 16, sfrutta vulnerabilità nelle implementazioni dei dialoghi di permesso per ottenere accessi sensibili senza notifiche visibili
  3. Intent-based exploitation: utilizza intent impliciti per lanciare funzioni di sistema senza permessi espliciti
  4. Package visibility spoofing: maschera la sua identità modificando il manifest e i metadati dell’app

Tecniche di evasione e stealth

Oblivion implementa diverse tecniche di evasione:

  • Process hiding: nasconde il suo processo dalla lista delle app in esecuzione
  • Log cleanup: elimina i log di sistema che potrebbero rivelare la sua attività
  • Behavior mimicry: simula il comportamento di app legittime per evitare il rilevamento euristico
  • C2 obfuscation: comunica con i server di comando e controllo attraverso canali crittografati e anonimizzati

Infrastruttura C2 e gestione delle sessioni

L’infrastruttura di Oblivion supporta:

  • Load balancing: distribuisce le sessioni tra più server per evitare sovraccarichi
  • Tor routing: incanala il traffico attraverso la rete Tor per l’anonimato
  • Session persistence: mantiene le sessioni attive anche se il dispositivo si disconnette temporaneamente
  • Multi-protocol support: supporta VNC, HVNC, SSH e altri protocolli per il controllo remoto

Indicatori di compromissione (IOCs)

Gli indicatori tecnici includono:

  • Richieste insolite di Accessibility Service
  • Attività di rete verso indirizzi Tor
  • Processi nascosti che non appaiono in Activity Monitor
  • Modifiche ai file di sistema senza l’interazione dell’utente
  • Registri di sistema alterati o cancellati

Per i professionisti della sicurezza, il monitoraggio di questi IOCs e l’implementazione di Mobile Device Management (MDM) solutions possono aiutare a rilevare e contenere le infezioni da Oblivion nelle organizzazioni.

Fonte: https://gbhackers.com/new-300-android-rat-boasts/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto