Dopo Wannacry ecco Kskas: il trojan che colpisce i dispositivi Android

Se l’utente acconsente all’installazione dell’aggiornamento, il malware richiede l’installazione di un secondo APK chiamato “Update”, memorizzato localmente all’interno delle risorse dell’app. Non appena installata, l’app Update richiede come prima cosa l’attivazione come amministratore del dispositivo. Una volta che l’app malevola ha ottenuto i privilegi di amministratore, risulta praticamente impossibile revocarli con le normali procedure previste da Android.

Questo perché l’app si registra come “ricevitore” di eventi broadcast di sistema (classe DeviceAdminReceiver) e intercetta l’azione DEVICE_ADMIN_DISABLE_REQUESTED inviata ad un amministratore del dispositivo quando l’utente tenta di disattivarlo. In questo caso, l’app impedisce la disattivazione dei privilegi di admin e blocca lo schermo del dispositivo per alcuni secondi. Apparentemente, l’unica soluzione per la rimozione del malware rimane il ripristino del dispositivo alle impostazioni di fabbrica.

Durante l’esecuzione il malware si connette ad un server C&C da cui riceve vari parametri necessari a configurare le azioni malevole da effettuare. Questo trojan mostra alla vittima una serie di annunci pubblicitari fraudolenti sovrapposti alla schermata Home e alle altre app.