giovedì 23 marzo 2017

Le nuove frontiere dei malware Android: sfruttare i framework plugin per infettare app legittime.



I Malware per Android stanno evolvendo e questa tendenza è diventata assolutamente chiara negli ultimi sei mesi: in questo periodo infatti diversi ceppi di malware stanno implementando la propria capacità di svolgere attività dannose attraverso i framework per i plugin. 

DroidPluign, Parallel Space e Virtual App sono alcuni dei framework plugin che sono stati usati da malware nei mesi recenti per diffondere malware, sopratutto adware. 

Che cosa sono i framework plugin?
Sono strumenti pensati per aiutare gli sviluppatori di Android. Il loro ruolo è estendere i sistemi operativi Android con funzioni e caratteristiche non previste nelle versioni base. Il loro ruolo principale è aggiungere il supporo per la virtualizzazione consentendo al SO Android di eseguire una macchina virtuale dalla quale eseguire un'altra funzione della stessa applicazione. E' grazie ai framework per plugin che alcune app social permettono all'utente di fare login in contemporanea su uno o più account social. 

Un'arma a doppio taglio...

Disgraziatamente,anche gli autori di malware hanno scoperto i vantaggi offerti framework plugin: nell'Ottobre 2016  alcuni truffatori hanno usato VirtualApp lanciare un attacco di phishing contro utenti Twitter e WhatsApp.

Nel Novembre 2016  viene individuato un nuovo trojan per Android, PluginPhantom, che usava il DroidPlugin framework per "distribuire" i comportamenti dannosi attraverso più plugin, in maniera tale da rendere più difficile l'individuazione. 

Nel Gennaio 2017 viene individuata una nuova versione del malware HummingBad, chiamato HummingWhale, che usava DroidPlugin per installare app indesiderate entro la macchina virtuale così da guadagnare soldi dalle installazioni.

E ora sono stati scoperti nuovi attacchi...
Giusto ieri, i ricercatori di Palo Alto Networks ha pubblicato un articolo rispetto ad una nuova ondata di app per Android, la maggior parte disponibili su Google Play Store, che sono state infettate col malware HummingWhale. Secondo i ricercatori, le app contengono sia le funzionalità legittime sia comportmamenti dannosi: la maggior parte dei comportamenti dannosi ha sede entro la macchina virtuale creata dal framework DroidPlugin. In alcuni casi, i malware usano i framework plugin per lanciare un'altra istanza della stessa applicazione, al solo fine di mostrare una lunga serie di ads. In altri casi invece, il malware si spinge un passo oltre e installa e eventualmente avvia ona di queste app sponsorizzate (probabilmente guadagnando proprio dall'installazione). 

Shortcuts di app sponsorizzate create da app infette. Fonte: Palo Alto Networks
La buona notizia è che la maggior parte di queste app ha vita limitata, dato che vengono automaticamente cancellate dopo che la macchina virtuale viene terminata. 

Come si possono individare queste app dannose?
Gli utenti possono capire se una app sta seguendo istanze virtualizzato per mostrare app o installare app non desiderate accedendo alla schermata del SO Android che mostra le app in esecuzione.


Fonte: Palo Alto Networks
Nell'immagine sopra è facile intendere che ci sono due istanze in esecuzione della stessa app: una è quella legittima, l'altra chiaramente è quella che mostra gli ads. Non è del tutto sbagliato dire che, anche se per ora l'uso dei framework plugin avviene principalmente per mostrare ads, risvolti futuri potrebbero vedere questi framework plugin utilizzati da trojan bancari, visto che rendono molto semplice lanciare versioni dannose di app legittime. 

Nessun commento:

Posta un commento