giovedì 18 febbraio 2016

State lontani da queste Apps su Google Play!

Questo è un avviso precauzionale per tutti i nostri lettori che usano gli smartphones Android.
C’è un nuovo trojan che è stato rilevato da Quick Heal: si chiama Android.Xynyin.C ed è conosciuto per aver infettato oltre 60 applicazioni di giochi disponibili su Google Play Store. Secondo un rapporto ricevuto dai nostri analisti Malware, le applicazioni compromesse da questo trojan appartengono ad almeno 30 diversi sviluppato di giochi, inclusi BILLAPPS, Conexagon Studio, Fun Color Games, SoftPlusApp, and Luckystudio per nominarne alcuni.
Consigliamo caldamente di non scaricare le seguenti applicazioni da Google Play o da qualsiasi altro app store di terze parti:





 

Che cosa fa Android.Xynyin.C?
Una volta dentro il tuo dispositivo, il Trojan manda segretamente all’hacker le seguenti informazioni:

1.       IMEI, IMSI (International Mobile Station Equipment Identity, The International Mobile Subscriber Identity)
2.       MAC address (Media Access Control address – il numero hardware univoco del tuo cellulare)
3.       La lingua impostata sul sistema operativo del dispositivo
4.       Il nome dell’operatore di telefonia mobile
5.       Il nome del paese
6.       Se è presente o meno una scheda di memoria SD sul dispositivo
7.       La versione del sistema operativo
8.       Il nome del pacchetto dell’app dannossa e il suo numero di serie
9.       L’elenco di tutte le app installate sul dispositivo
10.    L’elenco di tutte le app in background sul dispositivo.


Oltre attività del Trojan Android.Xynyin.C?
1.     Una app compromessa da questo Trojan mostra annunci pubblicitari non ricercati dagli utenti. Cliccando su questi ads può avviarsi il download di altre app
2.     Il Trojan scarica altre app e cerca di convincere l’utente a installarle
3.     Sul dispositivo in modalità amministratore il malware può installare o disinstallare  app senza che l’utente abbia acconsentito o ne sia a conoscenza.


Altro di utile riguardo ad Android.Xynyin C?
Il Trojan fa uso di una peculiare tecnologia di steganografia per aggirare gli antivirus. Può scaricare una immagine dal server Comando e Controllo. Questa immagine apparirà come un file qualsiasi eccetto che nasconde al propro interno dati criptati addizionali. Quando una app dannosa decritta i dati, viene recuperato un file .dex che può essere caricato ed eseguito immediatamente. Questo codice decrittato ha la capacità di installare o disinstallare app nascostamente sul dispositivo.

Dopo svariate analisi, una delle app dannose ha rivelato la propria struttura, come mostrato sotto (fig.5)


Figura 5. 
L’immagine sotto è uno snapshot dell’immagine scaricata dal malware: contiene i dati criptati (fig.6)

Figura 6.
Sotto è mostrato il frammento di codice che è responsabile della installazione segreta di APKs. Questo codice è recuperato da “yourlcon.png” che viene scariato dal server C&C (fig. 7)
 
 
Figura 7.
Non si può negare che gli sviluppatori di app possano aggiungere differenti exploit ai codici contenuti nelle immagini per ottenere l’accesso come amministratore. Basta loro cambiare il codice dall’immagine contenuta nel server senza modificare l’applicazione stessa. Tecniche di questo tipo stanno crescendo di giorno in giorno per evitare il rilevamento da parte dei software antivirus. Mentre onesti sviluppatori di app usano tecniche simili per proteggere i propri codici, gli autori di malware le usano come backdoor per infiltrarsi nei dispositivi che prendono di mira.
I nostri lettori potranno notare che molte di queste app sono state rimosse dai play store, ma sono ancora disponibili app degli stessi sviluppatori e questi usano le tecniche steganografiche per estrarre dati dai file immagine. Non sarà un compito difficile per questi sviluppatori re-inserire il codice richiesto per eseguire il codice inviato dai server. Quick Heal rileva queste app meno pericolose come programmi potenzialmente indesiderati col nome Android.Xynyin.c (PUP).Questi incidenti ribadiscono il fatto che neppure I negozi ufficiali di app sono a prova di hacker e gli utenti devono assolutamente proteggere i propri dispositive con un livello ulteriore di protezione.

Conoscenze di: Gaurav Shinde, Quick Heal Threat Research & Response Team.

Nessun commento:

Posta un commento