venerdì 27 gennaio 2017

Il ransomware per Android CHARGER diffuso su Play Store


Google ha rimosso due giorni fa una app dannosa dal suo Play Store: l'app si chiama Energy Rescue e veniva presentata come un app di utilità funzionale al risparmio dell'energia della batteria degli smartphone Android.  In realtà l'app non ha nessuna utilità rispetto alla carica della batteria: al contrario lo scopo è di ricattare lo sfortunato utente che la installa sul proprio smartphone Android.

Che cosa fa Energy Rescue?
L'app ruba i messaggi SMS e la rubrica. Questi dati vengono poi trasferiti in un server sotto controllo dei cyber-criminali. Eseguite queste operazioni, l'app installa il ransomware: il risultato è il blocco del dispositivo e la visualizzione della nota di riscatto per ottenere lo sblocco.

Questo il testo del riscatto (visualizzato in inglese, qui tradotto)

Dovrai pagarci il riscatto, altrimenti venderemo porzioni dei tuoi dati personali sul mercato nero ogni 30 minuti. Ti garantiamo al 100% che i tuoi file verranno ripristinati dopo che avremo ricevuto il pagameno. Sbloccheremo il tuo dispositivo e cancelleremo tutti i tuoi dati dai nostri server. Spegnere lo smartphone non sortirà alcun effetto, tutti i tuoi dati sono già sui nostri server! Li potremo vendere per campagne di spam, per crimini bancari, per truffe... Abbiamo raccolto e scaricato tutti i tuoi dati personali. Tutte le informazioni riguardo ai tuoi social network, agli account bancari, alle carte di credito. Stiamo raccogliendo tutti i dati riguardanti i tuoi amici e la tua famiglia.

Non tutte queste minacce sono vere: dallo studio del ransonmware è emerso che l'app non ricerca alcune delle informazioni esposte nella richiesta di riscatto. Ad esempio non riesce ad avere accesso (a meno che non contenute nei messaggi di testo) ad informazioni come i dati del conto bancario o della carta di credito.

Questo ransomware non è nuovo...

Ma ha una particolarità però: le altre app solitamente ottengono il controllo del dispositivo a piccoli passi. Il primo è quello di tentare di ottenere i privilegi da amministratore, avviando l'infezione con app leggere e con una ridotta gamma di comportamenti dannosi. Una volta convinto l'utente a concedere alla app i privilegi di amministrazione, l'app eseguirà il download e poi l'installazione del ransomware. Questo facilita il superamento dei controlli che Google Play impone su ogni app prima che questa divenga disponibile nello Store.

In questo caso invece l'app Energy Rescue contiene tutto il codice necessario per installare il ransomware, superando la necessità di eseguire il download in un secondo momento. La app in ogni caso ha superato i controlli di Google e sono pochissimi gli antivirus che, per adesso, sono riusciti a rilevarla come dannosa e a metterla in quarantena: bisogna ammettere che gli sviluppatori sono stati piuttosto abili nel camuffare i comportamenti dannosi del ransomware.

Per cominciare gli sviluppatori hanno codificato tutte le stringhe come array binari, rendendo difficile l'ispezione della app anche a ricercatori esperti. In secondo luogo scaricano codice dannoso da risorse criptate, così che il motore di individuazione di Google non possa procedere ad ispezione. Terzo: hanno invaso lo smartphone di comandi inutili volti solo a nascondere le operazioni dannose da ogni ispezione manuale.

Infine Charger include un codice il cui scopo è quello di verificare se l'app sia o meno in esecuzione in un emulatore Android e, se la verifica è positiva, blocca l'innesco del ransomware.

Nessun commento:

Posta un commento