Malware Android: analisi di una minaccia reale e silenziosa

-
Analisi esclusiva di Chimera Revo sui rischi di infezione sull'OS mobile più diffuso, con cronaca di un'infezione reale.


Sempre più spesso sentiamo parlare sui blog e sui siti di malware e virus per il sistema operativo Android con un riporto di notizie a dir poco “passivo”: un continuo riferire di news di quello o di quell’altro malware per Android in grado di far danni e destra e sinistra…..un flusso continuo di informazioni che noi difficilmente riusciamo ad interpretare come sintomo di una reale minaccia. Incosciamente sottovalutiamo il pericolo esattamente come, davanti ad un TG o ad un giornale, sentiamo notizie di guerre lontane o di malattie contagiose distanti: finché non ci tocca da vicino, non ho motivo di preoccuparmi seriamente.
È proprio questo stato d’animo che mi accompagnava fino a qualche giorno fa: i malware per Android esistono, ma non ne ho mai incontrato uno; di cosa devo preoccuparmi? Ma da buon (ex) analista security Windows agivo comunque con un livello d’attenzione superiore alla media, concio che era solo questione di tempo prima di imbattermi nella mia prima reale minaccia per Android, e sospettavo che l’attacco sarebbe stato quasi invisibile e silenzioso; solo la mia grande attenzione per i dettagli mi ha impedito di trovarmi con un device Android pesantemente infetto.
In questo articolo esclusivo per Chimera Revo eseguiremo un’analisi precisa e dettagliata di una reale minaccia per Android con report finale sui dettagli constatati da tale ricerca. Cercherò di spiegare tutti i passaggi dell’analisi per una chiara comprensione: gli articoli troppo tecnici alla lunga annoiano, ma un pizzico di tecnica permetterà agli utenti alle prime armi di apprendere e agli utenti più smaliziati di gustarsi una lettura interessante.

  • Contagio

Siamo soliti pensare che le infezioni per Android siano ancora difficili da prendere in giro per la rete, che per infettarci dobbiamo proprio andarcela a cercare scaricando apk infetti di nostra volontà; questa è una convinzione parzialmente errata.
Molti siti legittimi in giro per la rete sono stati “modificati” dai cracker per infettare silenziosamente i terminali che si connettono alla pagina taroccata (siti untori in gergo), altri siti per il sostentamento si affidano a circuiti pubblicitari che non effettuano un buon controllo sulle pubblicità mostrate all’interno dei loro circuiti: un buon 40% di esse nasconde una potenziale minaccia.
Questo rischio potenziale valeva (e vale tutt’ora) se ci connettevamo al sito incriminato con un PC dotato di Windows; ma la musica è cambiata. Moltissimi siti untori e pubblicità ingannevoli riconoscono l’user agent di Android comunicato dal browser e abilitano in automatico il download del “pacchetto giusto” in base al sistema in uso.
Nessuna interazione dell’utente, nessuna finestra d’avviso (oltre ai pop-up degli ads) o richiesta di scaricare quello o questo: visitiamo il sito giusto ma “taroccato” e ci troviamo una bellissima sorpresa nella cartella Download di Android.


APK malware

Un file APK sconosciuto con nome e numero pseudo-casuale atto ad identificare lo smartphone che ha scaricato il pacchetto.
Il nome del pacchetto infetto è variabile: i malintenzionati spesso usano nomi “attraenti” per gli utenti (invogliano a provare l’app ed avviare il download) oppure usano l’ingegneria sociale per camuffare il loro pacchetto con il nome di un probabile file che l’utente medio potrebbe già aver scaricato nella sua cartella Download. Sono infatti disponibili le seguenti varianti dello stesso APK infetto (lista non completa):
  • Aviate_56oihgksdovasoocv.apk
  • wheresmywater2_MOD.apk
  • FacebookPLUS_sodkdoicay122pxxoa.apk
  • Flash_player_ics.apk
  • gapps-4.3PLUS_kghsazwpofca30cfaos.apk
  • whatsapp_MOD.apk
  • SuperSU_0219244550okk.apk
  • kitekat_THEME.apk
  • android.chrome0990s.apk
  • task_manager.apk
  • game.simpsons4_MOD.apk
Solo per citare alcuni pacchetti che puntano allo stesso malware scaricato dal sottoscritto.
Questo spiega il mio “parziale” nell’affermazione sull’infettività di Android: un pacchetto APK richiede ancora una certa interazione dell’utente, anche se viene scaricato in automatico; proprio per tale ragione vengono scelti dei nomi per i malware che possono essere facilmente “confusi” con i pacchetti APK innocui che un utente potrebbe ritrovarsi tranquillamente in Download.
Quante possibilità ci sono che un vostro conoscente o voi stessi vi ritroviate due pacchetti all’apparenza identici in Download? E quante possibilità di sbagliare tasto e di avviare il pacchetto errato, quello con il malware? Quante possibilità di essere attratti dall’installazione di uno dei pacchetti sovraccitati? Il rischio è elevatissimo, ed è proprio a questo che un virus writer per Android punta: la vostra voglia di app “gratis a tutti i costi” prende il sopravvento e lasciate sempre attiva la voce “Origini sconosciute” in Android, prima vera porta d’ingresso (direi addirittura portone) per tutti i malware in giro.

  • Infezione

Non cliccare su quel pacchetto, dai!! Puoi comprarlo “Dov’è la mia Acqua 2″, non costa mol……troppo tardi! Il pacchetto scaricato dalla rete era fasullo, oppure hai cliccato sul file dal nome identico ma errato! Non ti eri accorto della presenza di due file identici nella stessa cartella e per fretta e sbadataggine hai cliccato sul pacchetto APK del malware.
L’infezione è ormai in atto, non può più essere fermata e non è nemmeno necessaria la presenza di root nel sistema: i nuovi malware su Android si prendono tutti i permessi “legittimi” che il sistema offre normalmente a qualsiasi app installata a livello “utente”. Magari non saranno così potenti da distruggere tutto il sistema Android, ma possono fare molti danni (anche economici) al malcapitato.
Attenzione! Alcune varianti di malware scaricano dalla rete altri frammenti di codice eseguibile e altri APK pronti per essere installati; alcuni di questi abilitano di “nascosto” il superutente di Android e garantiscono l’accesso immediato a privilegi di sistema molto pericolosi! Mai lasciare agire troppo a lungo un malware sul sistema, qualsiasi esso sia!
Grazie all’aiuto di Andrubis, un analizzatore online di pacchetti APK infetti, ho avuto accesso ad una vera “macchina virtuale” Android dove sperimentare gli effetti del malware sul sistema del robottino verde senza passare alcun guaio sul mio device.
Non appena installato il malware si prende molti permessi di sistema per un maggior controllo dell’infezione.

Permessi malware


Tra questi troviamo: accesso alla rete, controllo della rete, lettura stato telefono, scrittura su storage esterno (backup su microSD o memoria interna) e controllo completo del servizio di messaggistica SMS (scrittura, lettura ed invio). Da notare che non prende il controllo di molti permessi, forse per non destare troppi sospetti.
NOTA BENE: non è richiesto root per tali permessi, Android li fornisce di default all’app che le richiede.
La nostra privacy sugli SMS e sulla navigazione è già a rischio; non soddisfatto il malware prende il controllo di importanti feature di sistema per un monitoraggio più avanzato.

Features Malware 


Il reparto telefonia è compromesso, così come il controllo del touchscreen e il sistema di gestione della rotazione dello schermo.
Il malware ora può monitorare i nostri tocchi sullo schermo, i numeri che chiamiamo e può adattare gli avvisi a schermo in base all’orientamento dello stesso. Privacy e sicurezza sono già ampiamente compromessi.
Da questo momento in poi potremo ricevere SMS/MMS e chiamate a tariffazione elevata (anche 2 euro a SMS/MMS, 5 euro al minuto di chiamata) spesso a risposta automatica (schermo acceso e parte la risposta, grazie al passaggio precedente). Per realizzare questo il malware attiva dei servizi di broadcast per inviare e ricevere i dati dallo smartphone infettato.

Broadcast malware 

Infine il malware installa dei servizi e delle attività in autoavvio per messaggi pubblicitari e video hard in tempo reale sul telefonino.

 Servizi Malware


RAM intasata e CPU al 100% per la decodifica dei messaggi pop-up su schermo e per la riproduzione dei video.

Ecco un esempio della finestra che si avvierà dopo l’infezione

pop-up malware


Barra di stato scomparsa, Launcher disattivato e sistema inutilizzabile se non rimuovendo la batteria o effettuando un reset forzato. Il vostro sistema Android è bello e infetto in pochissimi secondi e senza troppa fatica.
Sono sensibili all’infezione tutte le varianti di Android finora conosciute: da Android 1.5 ad Android 4.3.

L’analisi completa dell’APK è possibile trovarla qui.

  • Rimozione minaccia

La frittata è fatta ed intervenire immediatamente con un buon antivirus per Android è una scelta saggia. Non tutti gli antivirus in circolazione identificano la minaccia in maniera corretta, molti AV famosi (come Norton) fanno ancora cilecca.
Ecco una schermata di VirusTotal, dove possiamo notare che solo 17 AV su 48 identificano la minaccia

VirusTotal


Un report dettagliato sulla minaccia trattata nell’articolo possiamo leggerlo da qui.

Per la disinfezione della minaccia ho usato come test Bitdefender Antivirus Free, un’AV molto potente con tecnologia Cloud per un’euristica e l’identificazione delle minacce, a mio avviso il migliore anche perché molto leggero (non ha controllo in tempo reale attivo nella versione FREE e richiede una connessione ad Internet attiva ma effettua una scansione automatica di ogni app aggiunta al sistema grazie alla tecnologia Autopilot).

Bitdefender

Appena installata e avviata ho premuto sul tasto Esamina per vedere come se la cavava sul sistema infetto.

Esamina AV

L’AV ha rivelato subito l’APK maligno e l’infezione in atto

Rilevato malware

Cliccando sulla voce “Hai una app infetta” si apre una schermata dove possiamo rimuovere con semplicità la minaccia rilevata

Rimuovi Minaccia

L’infezione è rimossa dal sistema.
NOTA BENE: per maggiore sicurezza consiglio di effettuare un reset di fabbrica del dispositivo, visto l’elevato livello d’interazione del malware sul sistema.

  • Prevenzione e considerazioni finali

Prevenire è sempre meglio che curare: non poteva essere altrimenti anche su Android.
Non siamo ancora sui livelli di pericolosità di Windows (dove non avere un AV, specie con utenza media all’utilizzo, significa infezione sicura) ma lentamente Android sta attirando tutti i cracker e i virus writing, che vedono nel robottino verde una validissima piattaforma di sviluppo per i loro malware e fonte di guadagno illecito assicurato.
Allo stato attuale posso trarre le seguenti conclusioni:
  • Il malware in questione è moderatamente pericoloso, specie se lasciato agire a lungo.
  • Il malware causa problemi a livello utente: se vi beccate un malware di questo tipo vi troverete in difficoltà con alcune funzionalità del dispositivo. Nessun componente del sistema viene distrutto senza l’ausilio di root
  • Minaccia facilmente controllabile: è sufficiente tenere disattivata la voce “Origini sconosciute” da Android per bloccare il 99% delle minacce di questo tipo;
  • Solo gli APK esterni possono risultare infetti: basta non installare nulla che proviene al di fuori dal Market Google. Ogni volta che scarichiamo APK e crack di giochi e programmi moltiplichiamo il rischio d’infezione del 78%, portandolo ai livelli di Windows.
  • Gli AV per Android sono molto efficaci su questo tipo di minacce; averne uno di scorta può sempre rivelarsi utile, specie se dobbiamo installare APK esterni.
  • Bitdefender FREE fa al caso nostro: molto leggero ma straordinariamente efficace su Android, peccato che richieda la connessione ad Internet attiva per funzionare.


chimerarevo.com

Commenti

Posta un commento

Post popolari in questo blog

Orge omosessuali in Vaticano, ecco i nomi degli ecclesiastici finiti sotto accusa

-
La denuncia di Don Patrizio Poggi sta sconvolgendo il mondo della Chiesa e le stanze vaticane: nessuno mai, prima d’ora, aveva osato rivelare i nomi degli ecclesiastici che hanno partecipato alle orge omosessuali organizzate tra le mura di San Pietro. E dopo la denuncia di Papa Francesco sulla lobby gay, ecco che arriva la conferma con tanto di foto e nomi. Ragazzi e ragazze romeni adescati per partecipare a festini con preti pedofili e non, reclutati nei locali notturni, alla stazione Termini, addirittura abusati all’interno di una chiesa. La denuncia è  di don Patrizio Poggi, 46 anni, ex sacerdote , che dopo una condanna a 5 anni per reati sessuali, in marzo è andato dai carabinieri, a suo dire per tutelare la santa chiesa e la comunità cristiana.   E spunta anche una figura importante che ha controfirmato le 5 pagine di denuncia, mons. Luca Lorusso , numero due  della Nunziatura apostolica in Italia, il vice dell'ambasciatore vaticano Adriano Bernard...
Continua a leggere

Fotovoltaico al grafene: potente quasi quanto l'uranio

-
La ricerca sul fotovoltaico potrebbe essere a una svolta e l'Italia potrebbe giocare un ruolo chiave.  Su Nano Letters è stato pubblicato uno studio sul fotovoltaico al grafene realizzato Geffrey Grossman del MIT e Maurizia Palumno dell'Università di Tor Vergata di Roma.   La grande novità del fotovoltaico al grafene è che è sottilissimo : con appena due strati di questo materiale si potrebbe realizzare una cella fotovoltaica con un'efficienza pari al 1-2%. Molto poco rispetto al 15-20% del fotovoltaico che usiamo oggi, ma con molta meno materia. La cella al grafene , infatti, è spessa appena un nanometro. Centinaia di migliaia di volte più sottile di quelle normali al silicio. Marco Bernardi, altro scienziato del MIT di chiare origini italiane, spiega che " Mettendo insieme pochi strati si può ottenere un'efficienza più alta, in grado di competere con altre tecnologie fotovoltaiche già affermate ".   Se le previsioni degli scienziati d...
Continua a leggere

Cairo-Dock 3.2 migliora il supporto per Multi-screen e Ubuntu 13.04

-
Cairo-Dock è una completa dockbar per Linux completamente personalizzabile con la possibilità d'introdurre diversi applet e temi dedicati, dispone inoltre di una sessione dedicata in grado di offrire un'esperienza utente moderna e funzionale. Dopo cinque mesi di sviluppo è da poco disponibile la nuova versione 3.2 di Cairo-Dock la quale oltre a migliorare il supporto per il nuovo Unity e Gnome introduce diverse novità. Cairo-Dock 3.2 migliora il supporto multi-schermo e aggiunge due nuovi applet uno dedicato catturare immagini del nostro desktop (Screenshot) e un'indicatore generico. Introdotto un nuovo plugin per gestire gli effetti sonori della distribuzione, migliorato il supporto per Gnome Shell e il display manager GDM e introdotta la gestione della sessione Cairo-Dock in Systemd (systemctl enable cairo-dock.session). Cairo-Dock 3.2 aggiunge il supporto per AppIndicator in Ubuntu 13.04 e versioni precedenti e aggiunte innumerevoli correzioni di ...
Continua a leggere