lunedì 2 settembre 2013

Arrivano, si nascondono, e rovinano tutto - Android.Obad e Android.Fakedefender

Sembra che gli autori di malware stiano provando di tutto per colpire la piattaforma Android. Stanno tentando qualsiasi cosa; l’ultimo attacco ha la forma di due malwares, ossia Android.Obad e Android.Fakedefender. Nel resto del post è riportato cosa sono questi due malware e come agiscono.

Android.Obad e Android.Fakedefender sono più sofisticati rispetto alle tipiche famiglie dei malware. È stato scoperto che questi malware possono sfruttare i privilegi di amministratore e aumentare così il loro livello di segretezza dopo l’installazione nel dispositivo.

Informazioni su Android.Obad

Cos’è?
 - Android.Obad è un Trojan.
- Si presenta come una vera e propria applicazione.

Cosa fa?
- Invia Sms a numeri a pagamento, con il risultato di rappresentare costi extra per gli utenti.
- È in grado di scaricare applicazioni dannose, mandarle ad altri dispositivi tramite Bluetooth, ed agire in remoto compiendo azioni dannose.

Come riesce a ottenere i privilegi da amministratore?
- Una volta che Android.Obad si avvia, continua a chiedere all’utente di concedere l’utilizzo dei privilegi da amministratore. Il tasto “Cancella” è disabilitato, quindi l’utente è costretto a premere l’unica opzione possibile, ovvero “Attiva” come mostrato nell’immagine seguente.

Altre informazioni
- Una volta che il malware accede ai privilegi di amministratore, si nasconde nel sistema del dispositivo lasciando l’utente senza possibilità di rimuovere l’applicazione attraverso le Impostazioni.
- Android.Obad fa largo uso dei reflection code, che aiutano a nascondere i codici malevoli agli occhi delgli analizzatori malware. Le stringhe utilizzate ed i nomi delle funzioni sono cifrati con strati multipli usando tecniche polimorfiche.
- I programmi Android sono compilati in file DEX (Dalvik Executable), che sono a loro volta compressi in un unico file APK sul dispositivo. Il malware Android.Obad pone sfide per il reverse engineering, creando appositamente file DEX, che la maggior parte degli strumenti non riescono a decodificare.

Android.Obad sfrutta le seguenti vulnerabilità, il che rende difficile per gli analisti decodificarlo.

- AndroidManifest.xml modificato: il malware lascia alcuni dei componenti del file manifesto. A causa di questo, l'ambiente di analisi dinamica non riesce a fare una analisi automatizzata del malware. Tuttavia, tale file viene elaborato correttamente dal sistema operativo dello smartphone e il malware viene eseguito in ambiente reale.
- Errore nello strumento Dex2Jar: Dex2jar è uno strumento popolare usato per decodificare malware Android. Questo non riesce a decompilare o decompila in modo errato il malware così che l'analisi statica diventi difficile.
- Privilegi da amministratore: come discusso in precedenza, Android.Obad prende i diritti amministrativi del dispositivo in maniera tale da potersi nascondere e non apparire nella lista degli amministatori del dispositivo.

Informazioni su Android.Fakedefender

Che cosa è?

- Android.Fakedefender è un trojan.
- Per essere visualizzato, utilizza le icone delle applicazioni popolari come Facebook e Skype.
- Dopo che è stato installato, viene visualizzato sul telefono come “Android Defender”.

Che cosa fa?

- Una volta che Android.Fakedefender viene lanciato, continua a chiedere all'utente di concedergli i privilegi di amministratore. Indipendentemente dalla scelta dell'utente questi gli vengono concessi.
- Il malware inizia a notificare l'utente della presenza di malware o altre minacce alla sicurezza che in realtà sono inesistenti.
- Il malware continua a inviare tali messaggi per spaventare l'utente e spingerlo ad acquistare applicazioni per rimuovere le minacce. Infatti questo malware è conosciuto anche come “scareware”.
- In alcuni casi, il malware può impedire alla vittima di fare qualsiasi altra cosa sul loro telefono cellulare, fino a quando non viene effettuato un pagamento.
- Il malware raccoglie anche informazioni utente come numero di telefono, versione del sistema operativo, produttore del dispositivo, ubicazione, ecc e lo invia a un server remoto.
- La parte peggiore di questo malware è la sua capacità di interferire con le applicazioni in grado di avvertire l'utente sulle minacce reali alla sicurezza.

Nota: Proprio come Android.Obad, è difficile rimuovere anche Android.Fakedefender una volta che è stato installato sul dispositivo. Questo perché cambia le impostazioni del dispositivo in modo che l'utente non sia in grado di effettuare un normale reset di fabbrica.

Vorremmo vivamente consigliare agli utenti di stare attenti alle applicazioni che richiedono i privilegi da amministratore.

Definizioni di alcuni termini usati nel post:

Analisi statica - L’analisi statica è l'analisi di un software o un programma che viene fatta senza eseguire realmente il software.
Analisi dinamica - L’analisi eseguita su programmi in esecuzione è conosciuta come analisi dinamica.
Decodificazione - Decodificazione (Reverse engineering) si riferisce al processo che studia la funzione e il flusso di informazioni di un software o hardware al fine di determinarne i principi tecnologici.
Reflex Code - Il reflex code si riferisce alla capacità di un programma per computer di esaminare (vedi tipo introspezione) e modificare la struttura e il comportamento (in particolare i valori, i meta-dati, le proprietà e funzioni) di un oggetto in fase di esecuzione.
File APK - File di pacchetto di applicazioni Android (APK) è il formato di file utilizzato per distribuire e installare il software applicativo e middleware sul sistema operativo Android di Google.
Analisi automatica - L’analisi automatica si riferisce a un processo che consente agli analisti delle minacce malware di configurare ambienti di test controllati, dove possono eseguire e controllare il malware in modo automatico.

Nessun commento:

Posta un commento