Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Giu 07, 2017 Marco Schiaffino Attacco non convenzionale, Malware, Minacce, News, RSS 0
Sempre più sofisticati, sfruttando semplicemente i “buchi” del sistema operativo. Gli autori di malware per il sistema Android, negli ultimi mesi, stanno dimostrando di avere una certa inventiva nello sfruttare le caratteristiche (debolezze?) del sistema operativo Google.
L’ultima trovata è quella di usare una tecnica di attacco in due fasi: la prima app scarica il malware vero e proprio, che blocca lo smartphone ogni volta che si prova a disinstallarlo.
A spiegare come funziona il tutto ci hanno pensato i ricercatori di Zscaler che in un report illustrano la tecnica usata dai pirati informatici per infettare i dispositivi.
La campagna di distribuzione individuata dai ricercatori ha sfruttato come veicolo di infezione primario degli avvisi pubblicitari pubblicati su un forum online chiamato GodLikeProcductions.
Il trucchetto porta al download di un’app chiamata Ks Clean (kskas.apk) che dovrebbe essere un “cleaner” per sistemi Android. L’app, però, ha una sola funzione: visualizzare un falso messaggio di aggiornamento che ha un unico pulsante nella finestra: OK.
Insomma: una volta installata l’app, sullo schermo dello smartphone compare l’avviso intitolato “update” giustificato da presunti rischi per la sicurezza dei dati e riguardo il quale l’utente non ha apparentemente altra scelta se non quella di acconsentire al presunto aggiornamento.
Peccato che l’update, in realtà, sia un installer. E più precisamente l’installazione di un’app che chiede immediatamente privilegi di amministratore. Se l’utente glieli concede, se la ritrova installata sul dispositivo senza possibilità di rimuoverla.
Per impedire la rimozione, Update.APK utilizza un semplice trucchetto: visto che è impossibile disinstallare un’app con privilegi di amministratore prima di aver revocato i privilegi stessi, utilizza una funzione che “congela” lo smartphone ogni volta che si cerca di intervenire sui permessi relativi all’app.
Risultato: Update.APK non può essere rimosso in alcun modo. A questo punto, il malware comincia a visualizzare pubblicità indesiderate sul dispositivo, ma si riserva anche di fare altro.
Secondo i ricercatori di Zscaler, infatti, Update.APK instaura una connessione con un server Command and Control e ha la possibilità di modificare le impostazioni del dispositivo, scaricare dati senza alcun avviso e attivare funzioni di overlay sull’interfaccia, una tecnica utilizzata spesso come strumento di keylogging sugli smartphone.
Insomma: oltre a visualizzare pubblicità indesiderata, Update.APK potrebbe in futuro anche rubare credenziali di accesso, informazioni riservate e messaggi.
La campagna di distribuzione individuata da Zscaler, fortunatamente, ha dimensioni estremamente ridotte: circa 300 istanze localizzate per lo più in USA, Gran Bretagna e Francia. La tecnica utilizzata per impedire l’installazione, però, potrebbe essere clonata facilmente e utilizzata in altri malware. Occhi aperti e… diffidate degli update non richiesti dal sistema.
Apr 16, 2024 0
Apr 15, 2024 0
Apr 11, 2024 0
Apr 09, 2024 0
Apr 19, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...