C’è un nuovo trojan che è stato rilevato da Quick Heal: si chiama Android.Xynyin.C ed è conosciuto per aver infettato oltre 60 applicazioni di giochi disponibili su Google Play Store. Secondo un rapporto ricevuto dai nostri analisti Malware, le applicazioni compromesse da questo trojan appartengono ad almeno 30 diversi sviluppato di giochi, inclusi BILLAPPS, Conexagon Studio, Fun Color Games, SoftPlusApp, and Luckystudio per nominarne alcuni.
Consigliamo caldamente di non scaricare le seguenti applicazioni da Google Play o da qualsiasi altro app store di terze parti:
Che
cosa fa Android.Xynyin.C?
Una volta dentro il tuo
dispositivo, il Trojan manda segretamente all’hacker le seguenti informazioni:
1.
IMEI, IMSI (International Mobile Station Equipment
Identity, The International Mobile Subscriber Identity)
2.
MAC address (Media Access Control address – il numero
hardware univoco del tuo cellulare)
3.
La lingua impostata sul sistema operativo del dispositivo
4.
Il nome dell’operatore di telefonia mobile
5.
Il nome del paese
6.
Se è presente o meno una scheda di memoria SD sul dispositivo
7. La versione del sistema operativo
8.
Il nome del pacchetto dell’app dannossa e il suo
numero di serie
9.
L’elenco di tutte le app installate sul dispositivo
10.
L’elenco di tutte le app in background sul dispositivo.
Oltre attività del Trojan Android.Xynyin.C?
1.
Una app compromessa da questo Trojan mostra annunci
pubblicitari non ricercati dagli utenti. Cliccando su questi ads può avviarsi
il download di altre app
2.
Il Trojan scarica altre app e cerca di convincere l’utente
a installarle
3.
Sul dispositivo in modalità amministratore il malware
può installare o disinstallare app senza
che l’utente abbia acconsentito o ne sia a conoscenza.
Altro di utile riguardo ad
Android.Xynyin C?
Il Trojan fa uso di una peculiare tecnologia di steganografia per aggirare gli antivirus. Può scaricare una immagine dal server Comando e Controllo. Questa immagine apparirà come un file qualsiasi eccetto che nasconde al propro interno dati criptati addizionali. Quando una app dannosa decritta i dati, viene recuperato un file .dex che può essere caricato ed eseguito immediatamente. Questo codice decrittato ha la capacità di installare o disinstallare app nascostamente sul dispositivo.
Dopo svariate analisi, una delle app dannose ha rivelato la propria struttura, come mostrato sotto (fig.5)
Il Trojan fa uso di una peculiare tecnologia di steganografia per aggirare gli antivirus. Può scaricare una immagine dal server Comando e Controllo. Questa immagine apparirà come un file qualsiasi eccetto che nasconde al propro interno dati criptati addizionali. Quando una app dannosa decritta i dati, viene recuperato un file .dex che può essere caricato ed eseguito immediatamente. Questo codice decrittato ha la capacità di installare o disinstallare app nascostamente sul dispositivo.
Dopo svariate analisi, una delle app dannose ha rivelato la propria struttura, come mostrato sotto (fig.5)
 | |
| Figura 5. |
L’immagine sotto è uno snapshot dell’immagine scaricata
dal malware: contiene i dati criptati (fig.6)
 |
| Figura 6. |
Sotto è mostrato il frammento di codice che è
responsabile della installazione segreta di APKs. Questo codice è recuperato da
“yourlcon.png” che viene scariato dal server C&C (fig. 7)
 |
| Figura 7. |
Non si può negare che gli sviluppatori di app possano
aggiungere differenti exploit ai codici contenuti nelle immagini per ottenere l’accesso
come amministratore. Basta loro cambiare il codice dall’immagine contenuta nel
server senza modificare l’applicazione stessa. Tecniche di questo tipo stanno
crescendo di giorno in giorno per evitare il rilevamento da parte dei software
antivirus. Mentre onesti sviluppatori di app usano tecniche simili per proteggere i propri
codici, gli autori di malware le usano come backdoor per infiltrarsi nei
dispositivi che prendono di mira.
I nostri lettori potranno notare che molte di queste
app sono state rimosse dai play store, ma sono ancora disponibili app degli
stessi sviluppatori e questi usano le tecniche steganografiche per estrarre
dati dai file immagine. Non sarà un compito difficile per questi sviluppatori re-inserire
il codice richiesto per eseguire il codice inviato dai server. Quick Heal
rileva queste app meno pericolose come programmi potenzialmente indesiderati
col nome Android.Xynyin.c (PUP).Questi incidenti ribadiscono il fatto che neppure I negozi
ufficiali di app sono a prova di hacker e gli utenti devono assolutamente proteggere
i propri dispositive con un livello ulteriore di protezione.
Conoscenze di: Gaurav Shinde,
Quick Heal Threat Research & Response Team.
Nessun commento:
Posta un commento