mercoledì 5 aprile 2017

Nuovo ransomware per Android invisibile agli antivirus


Alcuni ricercatori dell'azienda di cyber-sicurezza Zscaler hanno individuato un nuovo tipo di ransomware per Android che ha la capacità di evadere l'individuazione da parte della maggior parte dei motori antivirus per dispositivi mobili. Probabilmente è legato alla famiglia di ransomware per Android SLocker

Attualmente colpisce solo utenti russi, ma pensiamo sia un interessante "caso-studio": dal punto di vista della criptazione è infatti assai scadente, presentando gravi falle nella funzionalità di decriptazione. Questo significa che gli utenti colpiti da questo ransomware non potranno sbloccare i propri dispositivi Android ne riavere i dati, anche dopo il pagamento del riscatto. 

E' assai probabile pensare che questo ransomware sia un vero e proprio test incentrato essenzialmente sullo sviluppo e il test di funzionalità anti-antivirus.
Come si diffonde?

Il trucchetto dietro alla diffusione di questo ransomware non è assolutamente nuovo: i truffatori usano store di terze parti per diffondere il payload del ransomware. I truffatori cioè individuano le app più scaricate e popolari sul Play Store, le clonano, le modificano e le rimettono online. L'app viene modificata producendo quindi comportamenti diversi dalla app originale: il codice del payload è inserito direttamente nel codice della app, quindi viene offuscato con un algoritmo avanzato. A questo punto la app viene "reimpacchettata" e quindi caricata sullo store di terza parte. 

Come blocca gli smartphone?

Quando un utente installa l'app, pensando sia una app legittima, non si accorger di nulla. Il perché è facile: il ransomware si attiva solo dopo 4 ore dall'installazione della app modificata. Dopo 4 ore l'app comincia a bersagliare l'utente di pop up che chiedono la concessione dei diritti di amministratore.  I pop-up non sono eliminabili: l'app continuerà a farli visualizzare all'utente finché non ottiene ciò che vuole.

Quando l'app ottiene i privilegi di amministrazione, blocca lo schermo del dispositivo con il messaggio sotto, avvisando l'utente che dovrà pagare un riscatto di circa 500 rubli per sbloccare il telefono. Nel messaggio si minaccia anche l'invio di SMS a tutti i contatti finalizzato ad avvisare amici e conoscenti del fatto che si è soliti visualizzare materiale pornografico illegale (minacce che paiono, analizzando il codice del ransomware, del tutto prive di fondamento).



Perchè riesce a evadere gli antivirus?
Qui si entra nel vivo della particolarità di questo ransomware: questo ransomware riesce ad evadere praticamente quasi qualsiasi antivirus per Android. I motivi sono due: il primo è che, come dicevamo sopra, usa un codice molto molto offuscato. Il secondo motivo è che usa una tecnica di "Reflection"in Java per eseguire il proprio codice: la Reflection è una tecnica che permette la manipolazione di classi, metodi e attributi in una maniera non convenzionale al paradigma stesso di Java.  Ne aggiungiamo un terzo: come detto, il ransomware entra in esecuzione dopo un lasso di 4 ore dall'installazione della app modificata. Alcuni antivirus eseguono sulle nuove app una analisi dinamica, un tipo di analisi che interagisce con la app pochi minuti per valutarne la sicurezza. Chiaramente il ritardo nell'esecuzione del ransomware vanifica completamente questo tipo di analisi. 

Da Zscaler fanno notare che, date le efficientissime tecniche di copertura del ransomware, non sarà difficile superare i test di verifica di Google Play Store e mettere quindi disponibile al download una lunga serie di app dannose contenenti questa minaccia. 

Nessun commento:

Posta un commento