giovedì 17 maggio 2012

Diffusione di malware Android. Giochi, siti .RU ed alcune novita' (17 maggio)

Segnalati da diversi siti che si occupano di malware, sicurezza Internet ecc...., numerosi giochi per Android scaricabili gratuitamente dalla rete e che in realta' non installano nessun game ma solo un software che ha come caratteristica principale quella di connettersi in maniera del tutto trasparente per l'utente a numeri a pagamento.

La caratteristica comune a tutti questi software parrebbe essere una struttura del software identica e rilevabile attraverso l'analisi dei contenuti del file .APK

Inoltre si nota come i siti in questione (quelli analizzati tutti su dominio .RU) che propongono games ma anche altre applicazioni, ad es. un install di Google Play, presentino le dimensioni di download del file indicate sulla pagina come variabili a seconda del programma da scaricare, ma in realta' il file scaricato e' sempre  di circa 2 Mbytes.

Ecco alcuni esempi 



e

 oppure:


Questo vuole dire o che il software scaricato e' solamente con funzioni di loader dell'applicazione proposta che verra' caricata al momento del run dello stesso oppure, e c'e' conferma dall'analisi dei contenuti, e' sempre il medesimo codice malevolo di invio SMS a numeri relativi a servizi a pagamento che viene ridenominato per farlo apparire come un legittimo file APK di install del gioco.

Esaminando i sorgenti dei files apk scaricati si nota come molti presentino i medesimi contenuti e di cui possiamo vedere alcuni dettagli di come e' strutturato il source estraendo i dati dal file classes.dex.



mentre questi i dettagli relativi ai permessi richiesti ed utilizzati



Tra i vari codici presenti notiamo anche alcuni riferimenti a numeri relativi a servizi a pagamento come


ed anche

utilizzati per l'invio nascosto di SMS.

Naturalmente non vi sono solo giochi ma anche applicazioni diverse quali ad esempio questo install di Google Play


Una analisi statica dei files mostra che VT vede i contenuti come





od anche


con evidente riconoscimento dell'applicazione malevola
Sempre analizzando la struttura dell'APK possiamo trovare questa icona

che e' poi la stessa utilizzata come riferimento al programma quando installato sul dispositivo mobile.(questo un run in VBOX)

Ecco ad esempio le fasi di installazione di Google Play con lo screenshot relativo alla richiesta delle autorizzazioni (notate quella relativa all'invio di SMS)


ed una volta installato il software ecco l'icona INSTALL dai contenuti visti in precedenza


C'e' comunque da rilevare che si tratta, almeno nei casi analizzati ora, di programmi distribuiti da siti in lingua russa che paiono quindi orientati ad una utenza ben delimitata.

Quanto scritto sino a qui trova conferma in un articolo pubblicato proprio ieri da PCWorld dal titolo 'Gli utenti Android bersaglio degli SMS premium” e che riassumo :

….......... I criminali informatici russi hanno iniziato la distribuzione di un'ondata di malware attraverso falsi  siti di market Android tra cui, ad esempio un falso Android Flash Player.

Segnalato da Trend Micro, il primo attacco sfrutta una azione di ingegneria sociale, nel tentativo di ingannare gli utenti  a scaricare una applicazione fasulla Flash.
Il file APK malware e' Androids_Boxer.A che invia messaggi SMS a tariffa variabile a seconda della posizione geografica dello smartphone infettato.

Un secondo attacco simile, rilevato da Avast colpisce utenti di telefonia mobile alla ricerca di screen saver e giochi gratuiti, attraverso una variante di Android FakeInst e che utilizza SMS premium (a pagamento)............ (e' probabile che si tratti dei casi analizzati ora nel post )

Entrambi gli attacchi malware sono attualmente pubblicati sul web in lingua russa, cosa che abbassa le probabilita' che vengano coinvolti utenti di altre nazioni.
Comunque, al di fuori della relativa sicurezza del reale Marketplace Android, si stanno sviluppando modi sempre piu' sofisticati per attaccare gli utenti mobili.
Con l'espandersi della distribuzione al di fuori della Russia, l'utilizzo di applicazioni che sfruttano attacchi basati sull'ingegneria sociale e' sempre piu' probabile, come ad esempio i noti softwares   Angry Birds ed Instagram che sono gia' stati 'adottati' nelle ultime settimane per svolgere questo tipo di attacco.
In genere, i domini utilizzati per ospitare il malware sono temporanei, una tattica presa in prestito dal mondo del malware desktop...............

L'articolo evidenzia anche come sia in atto una  convergenza delle tecniche di malware desktop con quello ai danni di  Android con un primo esempio di sito “drive-by Android” rilevato la scorsa settimana

In breve, si tratta di un certo numero di siti segnalati da Lookout Mobile Security  che tramite Iframe nascosto effettuano in automatico il download di un file trojan denominato 'NotCompatible”senza che ci sia conferma d parte dell'utente.

Chiaramente, in linea con gli attacchi drive-by-download noti su PC l'utente dovra' poi installare il software scaricato perche' questo si attivi, come viene riportato dal blog di Lockout 

“............La distribuzione del trojan “NotCompatible” dipende da siti web compromessi che hanno un iframe nascosto in fondo a ogni pagina. Se un utente visita un sito compromesso da un dispositivo Android, il browser web mobile iniziera' automaticamente a scaricare l'applicazione NotCompatible, denominata 'Update.apk'.
Come ogni drive-by download, un utente deve installare l'applicazione scaricata prima che un dispositivo verra' infettato.
Sulla base della nostra indagine iniziale, abbiamo la conferma che un numero di siti web sono stati compromessi.
Tuttavia, i siti colpiti sembrano mostrare traffico relativamente basso e ci aspettiamo che l'impatto totale per gli utenti Android sia limitato.........”

Edgar

Nessun commento: