Sembra che gli autori di
malware stiano provando di tutto per colpire la piattaforma Android. Stanno
tentando qualsiasi cosa; l’ultimo attacco ha la forma di due malwares, ossia Android.Obad e Android.Fakedefender. Nel resto del post è riportato cosa sono
questi due malware e come agiscono.
Android.Obad e
Android.Fakedefender sono più sofisticati rispetto alle tipiche famiglie dei malware.
È stato scoperto che questi malware possono sfruttare i privilegi di amministratore
e aumentare così il loro livello di segretezza dopo l’installazione nel
dispositivo.
Informazioni su Android.Obad
Cos’è?
- Android.Obad è un Trojan.
- Si presenta come una vera e propria applicazione.
Cosa fa?
- Invia Sms a numeri a
pagamento, con il risultato di rappresentare costi extra per gli utenti.
- È in grado di scaricare
applicazioni dannose, mandarle ad altri dispositivi tramite Bluetooth, ed agire
in remoto compiendo azioni dannose.
Come riesce a ottenere i privilegi da amministratore?
- Una volta che Android.Obad
si avvia, continua a chiedere all’utente di concedere l’utilizzo dei privilegi
da amministratore. Il tasto “Cancella” è disabilitato, quindi l’utente è
costretto a premere l’unica opzione possibile, ovvero “Attiva” come mostrato
nell’immagine seguente.
Altre informazioni
- Una volta che il malware
accede ai privilegi di amministratore,
si nasconde nel sistema del dispositivo lasciando l’utente senza possibilità di
rimuovere l’applicazione attraverso le Impostazioni.
- Android.Obad fa largo uso
dei reflection code, che aiutano a nascondere i codici malevoli agli occhi delgli
analizzatori malware. Le stringhe utilizzate ed i nomi delle funzioni sono
cifrati con strati multipli usando tecniche polimorfiche.
- I programmi Android sono
compilati in file DEX (Dalvik Executable), che sono a loro volta compressi in
un unico file APK sul dispositivo. Il malware Android.Obad pone sfide per il
reverse engineering, creando appositamente file DEX, che la maggior parte degli
strumenti non riescono a decodificare.
Android.Obad sfrutta le seguenti vulnerabilità, il
che rende difficile per gli analisti decodificarlo.
- AndroidManifest.xml modificato: il malware lascia alcuni dei componenti del file manifesto.
A causa di questo, l'ambiente di analisi dinamica non riesce a fare una analisi
automatizzata del malware. Tuttavia, tale file viene elaborato correttamente
dal sistema operativo dello smartphone e il malware viene eseguito in ambiente
reale.
- Errore nello strumento Dex2Jar: Dex2jar è uno strumento popolare usato per decodificare
malware Android. Questo non riesce a decompilare o decompila in modo errato il
malware così che l'analisi statica diventi difficile.
- Privilegi da amministratore: come discusso in precedenza, Android.Obad prende i
diritti amministrativi del dispositivo in maniera tale da potersi nascondere e
non apparire nella lista degli amministatori del dispositivo.
Informazioni su Android.Fakedefender
Che cosa è?
- Android.Fakedefender è un
trojan.
- Per essere visualizzato,
utilizza le icone delle applicazioni popolari come Facebook e Skype.
- Dopo che è stato
installato, viene visualizzato sul telefono come “Android Defender”.
Che cosa fa?
- Una volta che Android.Fakedefender
viene lanciato, continua a chiedere all'utente di concedergli i privilegi di
amministratore. Indipendentemente dalla scelta dell'utente questi gli vengono
concessi.
- Il malware inizia a
notificare l'utente della presenza di malware o altre minacce alla sicurezza che
in realtà sono inesistenti.
- Il malware continua a
inviare tali messaggi per spaventare l'utente e spingerlo ad acquistare
applicazioni per rimuovere le minacce. Infatti questo malware è conosciuto
anche come “scareware”.
- In alcuni casi, il malware
può impedire alla vittima di fare qualsiasi altra cosa sul loro telefono
cellulare, fino a quando non viene effettuato un pagamento.
- Il malware raccoglie anche
informazioni utente come numero di telefono, versione del sistema operativo,
produttore del dispositivo, ubicazione, ecc e lo invia a un server remoto.
- La parte peggiore di
questo malware è la sua capacità di interferire con le applicazioni in grado di
avvertire l'utente sulle minacce reali alla sicurezza.
Nota:
Proprio come Android.Obad, è difficile rimuovere anche Android.Fakedefender una
volta che è stato installato sul dispositivo. Questo perché cambia le impostazioni
del dispositivo in modo che l'utente non sia in grado di effettuare un normale
reset di fabbrica.
Vorremmo vivamente consigliare
agli utenti di stare attenti alle applicazioni che richiedono i privilegi da
amministratore.
Definizioni di alcuni termini usati nel post:
Analisi statica - L’analisi statica è l'analisi di un software o un programma che viene fatta
senza eseguire realmente il software.
Analisi dinamica - L’analisi eseguita su programmi in esecuzione è conosciuta come analisi
dinamica.
Decodificazione - Decodificazione (Reverse engineering) si riferisce al processo che
studia la funzione e il flusso di informazioni di un software o hardware al
fine di determinarne i principi tecnologici.
Reflex Code - Il reflex code si riferisce alla capacità di un programma per computer di
esaminare (vedi tipo introspezione) e modificare la struttura e il
comportamento (in particolare i valori, i meta-dati, le proprietà e funzioni)
di un oggetto in fase di esecuzione.
File APK - File di pacchetto di applicazioni Android (APK) è il formato di file
utilizzato per distribuire e installare il software applicativo e middleware
sul sistema operativo Android di Google.
Analisi automatica - L’analisi automatica si riferisce a un processo che
consente agli analisti delle minacce malware di configurare ambienti di test
controllati, dove possono eseguire e controllare il malware in modo automatico.
Nessun commento:
Posta un commento