{
	"id": "6125bc8b-fd09-4acf-b256-7b552688b414",
	"created_at": "2026-04-06T00:09:00.045553Z",
	"updated_at": "2026-04-10T03:19:58.341994Z",
	"deleted_at": null,
	"sha1_hash": "4fc8fa2c9ca9bce3762843bd0f60c718cc5aa354",
	"title": "Individuato sito che veicola in Italia un APK malevolo",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 371915,
	"plain_text": "Individuato sito che veicola in Italia un APK malevolo\r\nArchived: 2026-04-05 16:03:33 UTC\r\n25/01/2021\r\napk\r\nIn data odierna è stato individuato da AddressIntel un dominio denominato “supportoapp[.]com” dal quale è\r\npossibile scaricare il file “Assistenzaclienti.apk” caricato sul server remoto in data odierna.\r\nUna volta installata l’app, che si presenta con il nome “Protezione Cliente“, viene richiesto all’utente di abilitare il\r\nservizio di accessibilità che servirà per attivare le funzionalità di keylogger e per accedere ad una serie di\r\npermessi.\r\nhttps://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nPage 1 of 5\n\nhttps://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nPage 2 of 5\n\nI permessi richiesti permettono di mostrare pagine di phishing all’apertura di specifiche app. Di seguito la lista dei\r\npermessi di cui l’app necessita:\r\n CALL_PHONE\r\n CAMERA\r\n DISABLE_KEYGUARD\r\n INTERNET\r\n READ_PHONE_STATE\r\n READ_SMS\r\n RECEIVE_MMS\r\n RECEIVE_SMS\r\n RECORD_AUDIO\r\n SEND_SMS\r\n SYSTEM_ALERT_WINDOW\r\n WRITE_EXTERNAL_STORAGE\r\n WRITE_SMS\r\n INJECT_EVENTS\r\nhttps://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nPage 3 of 5\n\nPACKAGE_USAGE_STATS\r\n READ_PRIVILEGED_PHONE_STATE\r\n ACCESS_NETWORK_STATE\r\n ACCESS_SUPERUSER\r\n MODIFY_AUDIO_SETTINGS\r\n READ_EXTERNAL_STORAGE\r\n RECEIVE_BOOT_COMPLETED\r\n REQUEST_DELETE_PACKAGES\r\n REQUEST_IGNORE_BATTERY_OPTIMIZATIONS\r\n REQUEST_INSTALL_PACKAGES\r\n WAKE_LOCK\r\nAppena concessi i permessi, viene effettuata una prima chiamata a “checkip.amazonaws.com” da cui ricava\r\nl’indirizzo IP del dispositivo compromesso e successivamente dialoga con il C2 a questo indirizzo:\r\n“montanatony[.]xyz” sulla porta 443.\r\nIl dominio del C2 è riportato in chiaro all’interno dell’APK ma i comandi per le successive query vengono\r\nottenute dalla decodifica di una serie di stringhe cifrate con AES-CBC e chiave embedded.\r\nhttps://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nPage 4 of 5\n\nA sinistra le stringhe decifrate, a destra il codice sorgente dell’APK con il C2 in chiaro\r\nSecondo VirusTotal il sample viene riconosciuto come un generico malware Android/Banker, quale in realtà è ma,\r\nal momento, questo malware non viene associato a nessuna famiglia e/o campagna già nota.\r\nSource: https://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nhttps://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/\r\nPage 5 of 5",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://cert-agid.gov.it/news/individuato-sito-che-veicola-in-italia-un-apk-malevolo/"
	],
	"report_names": [
		"individuato-sito-che-veicola-in-italia-un-apk-malevolo"
	],
	"threat_actors": [],
	"ts_created_at": 1775434140,
	"ts_updated_at": 1775791198,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/4fc8fa2c9ca9bce3762843bd0f60c718cc5aa354.pdf",
		"text": "https://archive.orkl.eu/4fc8fa2c9ca9bce3762843bd0f60c718cc5aa354.txt",
		"img": "https://archive.orkl.eu/4fc8fa2c9ca9bce3762843bd0f60c718cc5aa354.jpg"
	}
}