RottenSys è un trojan che, per ora, si è limitato a visualizzare insistentemente pubblicità sui dispositivi Android compromessi. E' assai diffuso in Cina, ma non solo, e pare stia iniziando a puntare anche all'Europa: sicuramente è stato individuato su dispositivi Huawei, Xiaomi, OPPO, vivo, LeEco, Coolpad e GIONEE. Ma la notizia non è questa: la notizia è che il malware è stato individuato in quasi 5 milioni di dispositivi e che a brevissimo subirà l'implementazione di un ulteriore modulo che ne aumenterà la capacità di azione sui dispositivi infetti.
Che cosa fa?
Il trojan è in circolazione dal 2016 e da tempo si sospetta che venga preinstallato (almeno da alcune marche) ancora prima di essere messo in vendita nei negozi. Si presenta come un servizio Wi-Fi, ma, al momento dell'installazione, richiede una serie di permessi che, se concessi, garantiscono a RottenSys una quasi totale libertà di azione, compresa la possibilità di scaricare ed eseguire ulteriore codice. Come detto, fino ad ora si è però limitato a mostrare insistentemente pubblicità.
Perchè è così diffuso?
Il successo nella diffusione di RottenSys è dovuto a due caratteristiche particolari riscontrate nel suo codice. Il malware usa due progetti open source disponibili su GitHub: uno è Small, un "application virtualization framework"; l'altro è MarsDaemon, una libreria che rende "immortali" le app.
Per prima cosa RottenSys usa Small per creare contenitori virtuali per i propri componenti interni, cosa che gli consente di eseguire i componenti in parallelo e in contemporanea (modalità che non è nativamente supportata dal SO Android) e che aiuta nel processo di distribuzione dell'app. In seconda battuta RottenSys usa MarsDaemon per mantenere attivi i processi, anche nel caso in cui l'utente tentasse di chiuderli: il trojan garantisce così che il meccanismo di iniezione non possa essere bloccato.
Per prima cosa RottenSys usa Small per creare contenitori virtuali per i propri componenti interni, cosa che gli consente di eseguire i componenti in parallelo e in contemporanea (modalità che non è nativamente supportata dal SO Android) e che aiuta nel processo di distribuzione dell'app. In seconda battuta RottenSys usa MarsDaemon per mantenere attivi i processi, anche nel caso in cui l'utente tentasse di chiuderli: il trojan garantisce così che il meccanismo di iniezione non possa essere bloccato.
Il modulo aggiuntivo
Vari esperti di sicurezza, proprio in questi giorni, stanno notando strani movimenti provenienti dai server C&C collegati al trojan e controllati dai cyber criminali: nel dettaglio pare essere in distribuzione il modulo aggiuntivo del quale parlavamo poco sopra. Il nuovo modulo, un pericolosissimo componente botnet, è stato aggiunto solo a Febbraio 2018 ed attualmente è in distribuzione. I ricercatori affermano che il nuovo modulo consentirà a RottenSys di prendere il controllo dei dispositivi, quindi ne risulterebbe una botnet (rete di computer/dispositivi zombie, usati da attaccanti, all'insaputa dei proprietari, per lanciare svariati tipi di attacchi o avviare campagne di spam/phishing), di dimensioni enormi. Una botnet di quasi 5.000.000 di dispositivi Android che potrebbe produrre ad esempio attacchi DDoS devastanti. Non solo: il nuovo modulo renderà RottenSys in grado di scaricare app aggiuntive sui dispositivi infetti.
Nessun commento:
Posta un commento