LuckyBoy Malware

LuckyBoy Malware è un Trojan che reindirizza i browser dell'utente a siti danneggiati, come falsi domini di aggiornamento, e fornisce agli aggressori informazioni per compromettere il dispositivo. Il LuckyBoy Malware prende di mira le vittime attraverso contenuti malvertising (o "pubblicità corrotta") per ambienti mobili e di gioco come Android, iOS e Xbox. I proprietari di dispositivi a rischio possono proteggerli con soluzioni di sicurezza aggiornate e credibili pronte a rimuovere LuckyBoy Malware e dovrebbero monitorare la loro navigazione web per i sintomi di reindirizzamenti di siti web.

Giocatori e proprietari di telefoni sfortunati nella campagna di questo trojan

Sebbene la maggior parte dei Trojan che i ricercatori di malware vedono sono favorevoli a Windows, ci sono eccezioni alla regola, come il downloader di Trojan WireLurker, FakeSpy dal nome impreciso e l'ultimo caso in questione: LuckyBoy Malware. Con un nome che deriva dalle sue estese funzionalità di tracciamento anti-rilevamento, LuckyBoy Malware è un Trojan altamente nascosto che prende di mira gli utenti Xbox, i dispositivi iOS di Apple come iPhone e i sistemi operativi dei dispositivi mobili Android.

La campagna di LuckyBoy Malware sembra che stia "testando le acque" con le sue incursioni iniziali di distribuzione semi-limitata, che utilizza contenuti basati su tag pubblicitari per infettare gli utenti dei suddetti sistemi operativi. Il design di LuckyBoy Malware enfatizza l'evitamento del rilevamento, sia automatizzato che basato sull'utente, e gli attacchi drive-by-download possono aggirare i protocolli di sicurezza degli annunci che bloccano i Trojan. Sebbene gli ad server DSP siano europei, gli utenti interessati tendono alla nazionalità canadese o americana.

LuckyBoy Malware funge da browser hijacker di fascia alta che utilizza un Web beacon in un formato pixel di tracciamento 1x1 per reindirizzare gli utenti a siti danneggiati. Esempi di possibili reindirizzamenti includono portare gli utenti da una pagina di aggiornamento legittima a una falsa che scarica un altro Trojan o da un sito di accesso bancario a un accesso falso che raccoglie le credenziali dell'utente.

È probabile che ulteriori ondate di campagne estendano il "raggio d'azione" di LuckyBoy Malware alle vittime espandendo i tag degli annunci compromessi.

Fare fortuna contro un cattivo ragazzo

Il nome di LuckyBoy Malware deriva dalla funzione globale di tracciamento delle variabili che utilizza, che controlla continuamente il dispositivo per ambienti virtuali, strumenti di debug e segni rivelatori simili di un ambiente di analisi. Non viene mai eseguito in un tale ambiente e può persino interrompere il suo script dopo essere stato eseguito per un po '. Questa funzione è uno dei numerosi elementi che dimostrano che l'attore della minaccia dietro il LuckyBoy Malware, chiunque sia, ha un'esperienza di programmazione non trascurabile e un interesse acquisito nell'eludere il rilevamento.

I reindirizzamenti dei siti Web non sono l'unico pericolo nel payload di LuckyBoy Malware. Sebbene gli analisti di malware debbano ancora trovare funzionalità backdoor approfondite, trasferisce alcune informazioni di sistema ai server degli aggressori, come i codici dei paesi, la disponibilità dell'interfaccia touch e i numeri di core della CPU. La ricognizione generalizzata di questo tipo spesso è preliminare per ulteriori attacchi che lanciano altre minacce sul sistema o che prendono completamente il controllo del dispositivo.

Gli utenti Android, iOS e Xbox dovrebbero prestare attenzione ai contenuti pubblicitari e utilizzare le funzionalità di blocco degli annunci quando necessario per la loro sicurezza. Gli esperti di malware consigliano inoltre agli utenti di aggiornare i rispettivi servizi anti-malware per tassi di rilevamento ottimali immediatamente e di rimuovere LuckyBoy Malware il prima possibile.

In pochissimo tempo, LuckyBoy Malware si fa conoscere come un potente motore di ingegneria trojan che depreda gli utenti con ambienti di navigazione Web specializzati e, spesso, casuali. Supponendo che il proprio telefono non sia messo in pericolo dai Trojan tanto quanto il PC medio potrebbe finire per danneggiare gli utenti in modo massiccio nel 2021, a seconda della campagna di questa minaccia.