Due grosse compagnie hanno scoperto che qualcuno ha segretamente installato malware su 38 diversi modelli di smartphone che le due compagnie stesse distribuiscono nel mercato.
Secondo Chek Point, l'installazione delle app dannose è avvenuto in qualche punto della catena di distribuzione dei dispositivi stessi, in un punto intermedio tra l'uscita del telefono dall'industria manifatturiera e prima dell'arrivo alle due compagnie.
I telefoni sono stati infettati con Loki e Slocker
I ricercatori hanno individuato due famiglie diverse di malware sui telefoni infetti. Nel dettaglio si parla del malware Loki, pensato per intasare i telefoni di pubblicità ingannevole e ripetuta e per rubare informazioni e di Slocker, un vero e proprio ransomware per Smartphone.
Nella maggior parte dei casi, i ricercatori hanno notato che è il malware più diffuso è stato Loki, proveniente da una famiglia di malware molto potente, che può ottenere i privilegi di amministrazione e infettare perfino Zygote, uno dei processi fondamentali e centrali del sistema operativo Android. Loki può produrre un sacco di danni, ma, nella maggior parte dei casi, è usato per rubare informazioni dal dispositivo infetto e come adware: mostra cioè annunci in in alto, nelle finestre di altre app.
Dall'altra parte, le infezioni con Slocker sono state più rare, ma, se attivato, il ransomware può bloccare il dispositivo usando l'algoritmo di criptazione AES e inviare "sotto copertura" informazioni ad un server C&C ospitato su server Tor.
38 sono i modelli di smarthpone sono infetti
Due sono le compagnie colpite,una grosse compagnia di telecomunicazioni e una multinazionale del settore tecnologico. Secondo Check Point stessa (che non fa i nomi delle due compagnie, il che rafforza l'idea che siano molto famose), per questa infezione la responsabilità non è dei produttori, ma di terzi: fatto sta che gli smartphone distribuiti da queste due compagnie arrivano nei negozi già infetti, come se i malware fossero "di serie".
Secondo i ricercatori di Check Point inoltre, nessuno dei due malware è legato ad una app specifica, ma sono state trovate diverse app che sono legate ai due malware:
air.fyzb3
com.android.deketv
com.android.ys.services
com.androidhelper.sdk
com.armorforandroid.security
com.baycode.mop
com.changba
com.ddev.downloader.v2
com.example.loader
com.example.loader
com.fone.player1
com.google.googlesearch
com.iflytek.ringdiyclient
com.kandian.hdtogoapp
com.kandian.hdtogoapp
com.lu.compass
com.mobogenie.daemon
com.mojang.minecraftpe
com.sds.android.ttpod
com.skymobi.mopoplay.appstore
com.yongfu.wenjianjiaguanli
Questi i modelli attaccati fino ad adesso
Asus Zenfone 2 (5 devices)
LG G4
Lenovo A850
LenovoS90 (2 devices)
Nexus 5 (2 devices)
Nexus 5X
Oppo N3
OppoR7 plus
Samsung Galaxy A5 (2 devices)
Samsung Galaxy Note 2 (2 devices)
Samsung Galaxy Note 3
Samsung Galaxy Note 4 (3 devices)
Samsung Galaxy Note 5
Samsung Galaxy Note 8
Samsung Galaxy Note Edge
Samsung Galaxy S4 (5 devices)
Samsung Galaxy S7
Samsung Galaxy Tab 2 (2 devices)
Samsung Galaxy Tab S2
Xiaomi Mi 4i
Xiaomi Redmi
ZTE x500
vivo X6 plus
Nessun commento:
Posta un commento