The Lookout Blog ha pubblicato il 29 dicembre un post relativo alla diffusione di un nuovo malware trojan che interessa dispositivi Android.
Ecco una parziale traduzione del testo pubblicato a cui rimando per una lettura piu' dettagliata:
-----------------------------------------------------------------------------------------
La minaccia:
Un nuovo Trojan che interessa i dispositivi Android e' emerso recentemente in Cina. Soprannominato "Geinimi", sulla base della sua prima comparsa in rete, questo Trojan puo' inviare ai server remoti una quantita' significativa di dati personali presenti sul telefono cellulare
Si tratta del piu' sofisticato malware Android visto sino ad oggi.
Geinimi e' anche il primo malware Android che mostra funzionalita' di rete bot-like.
Una volta che il malware viene installato sul telefono di un utente, ha la potenzialita' di ricevere comandi da un server remoto che consentono al proprietario di quel server il controllo del telefono colpito.
Geinimi viene diffuso attraverso la sua inclusione in versioni 'riconfezionate' di applicazioni legittime, principalmente giochi, che vengono distribuite sul mercato cinese.
Anche se l'intento di questo Trojan non e' del tutto chiaro, esiste la possibilta' che possa anche essere un tentativo di creare una botnet Android. ............
Come funziona:
Quando un'applicazione host contenente Geinimi viene lanciata sul telefono di un utente, il Trojan viene eseguito in background e raccoglie le informazioni significative che possono compromettere la privacy di un utente.
Le informazioni specifiche che raccoglie includono le coordinate di posizione, gli identificatori univoci per il dispositivo (IMEI) e della carta SIM (IMSI).
A intervalli di cinque minuti, Geinimi tenta di connettersi a un server remoto utilizzando uno dei dieci nomi di dominio che ha nel codice.
Un sottoinsieme dei nomi a dominio comprende www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com e www.piajesj.com.
Se il collegamento e' possibile, Geinimi trasmette le informazioni raccolte al server remoto.
Anche se abbiamo visto Geinimi comunicare con un server, non abbiamo ancora osservato un controllo pienamente operativo in risposta da parte del server che potrebbe inviare comandi al cellulare.
La nostra analisi del codice Geinimi e' in corso, ma abbiamo le prove delle seguenti funzionalita':
* Invio delle coordinate di posizione (location fine)
* Invio dei dati identificativi del dispositivo (IMEI e IMSI)
* Download e richiesta all'utente di installare una applicazione
* Richiesta all'utente di disinstallare una applicazione
* Invio della lista delle applicazioni installate sul telefono, al server remoto
Mentre Geinimi puo' in remoto avviare un'applicazione da scaricare o disinstallarne una presente sul telefono, e sempre comunque richiesta la conferma utente per l'esecuzione dell'installazione o della disinstallazione.
Gli autori di Geinimi hanno aumentato la sofisticazione del codice che ora impiega tecniche di offuscamento del codice e crittografia dei codici di controllo e comando.
Chi e' la possibile vittima del malware ?
Attualmente abbiamo solo la prova che Geinimi e' distribuito attraverso app. store cinesi di terze parti.
Per scaricare un'applicazione da un negozio di terze parti, gli utenti Android devono consentire l'installazione di software da "fonti Sconosciute" (spesso chiamato "sideloading"). Geinimi potrebbe essere incluso anche in applicazioni per i telefoni Android in altre regioni geografiche.
Non abbiamo visto alcuna applicazione compromessa dal Trojan Geinimi sul sito ufficiale di Google Android Market.
Ci sono un certo numero di applicazioni, in genere i giochi, 'riconfezionate' con il Trojan Geinimi e pubblicate nei negozi di applicazioni cinesi, tra cuiMonkey Jump 2, Sex Positions, President vs. Aliens, City Defense and Baseball Superstars 2010
E 'importante ricordare che, anche se ci sono casi dei giochi riconfezionati con il cavallo di Troia, le versioni originali disponibili nelle lingue ufficiali di Google Android Market non sono state colpite.
-------------------------------------------------------------------------------------------------
Il post si conclude con le raccomandazioni per evitare di essere colpiti dal malware e che in definitiva sono le stesse applicabili anche agli utenti PC.
In pratica si tratta di scaricare solo applicazioni da fonti sicure dando anche una occhiata sia a chi risulta essere lo sviluppatore del software ed eventuali commenti in rete sul programma da installare.
E' inoltre bene ricordare che un comportamento insolito del cellulare potrebbe rivelare la presenza di malware installato (ad esempio richiesta di installazione di applicazioni sconosciute, SMS inviati in automatico ecc........)
E' utile utilizzare una applicazione di sicurezza mobile per il cellulare che analizzi ogni applicazione che si scarica.
Edgar
Ecco una parziale traduzione del testo pubblicato a cui rimando per una lettura piu' dettagliata:
-----------------------------------------------------------------------------------------
La minaccia:
Un nuovo Trojan che interessa i dispositivi Android e' emerso recentemente in Cina. Soprannominato "Geinimi", sulla base della sua prima comparsa in rete, questo Trojan puo' inviare ai server remoti una quantita' significativa di dati personali presenti sul telefono cellulare
Si tratta del piu' sofisticato malware Android visto sino ad oggi.
Geinimi e' anche il primo malware Android che mostra funzionalita' di rete bot-like.
Una volta che il malware viene installato sul telefono di un utente, ha la potenzialita' di ricevere comandi da un server remoto che consentono al proprietario di quel server il controllo del telefono colpito.
Geinimi viene diffuso attraverso la sua inclusione in versioni 'riconfezionate' di applicazioni legittime, principalmente giochi, che vengono distribuite sul mercato cinese.
Anche se l'intento di questo Trojan non e' del tutto chiaro, esiste la possibilta' che possa anche essere un tentativo di creare una botnet Android. ............
Come funziona:
Quando un'applicazione host contenente Geinimi viene lanciata sul telefono di un utente, il Trojan viene eseguito in background e raccoglie le informazioni significative che possono compromettere la privacy di un utente.
Le informazioni specifiche che raccoglie includono le coordinate di posizione, gli identificatori univoci per il dispositivo (IMEI) e della carta SIM (IMSI).
A intervalli di cinque minuti, Geinimi tenta di connettersi a un server remoto utilizzando uno dei dieci nomi di dominio che ha nel codice.
Un sottoinsieme dei nomi a dominio comprende www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com e www.piajesj.com.
Se il collegamento e' possibile, Geinimi trasmette le informazioni raccolte al server remoto.
Anche se abbiamo visto Geinimi comunicare con un server, non abbiamo ancora osservato un controllo pienamente operativo in risposta da parte del server che potrebbe inviare comandi al cellulare.
La nostra analisi del codice Geinimi e' in corso, ma abbiamo le prove delle seguenti funzionalita':
* Invio delle coordinate di posizione (location fine)
* Invio dei dati identificativi del dispositivo (IMEI e IMSI)
* Download e richiesta all'utente di installare una applicazione
* Richiesta all'utente di disinstallare una applicazione
* Invio della lista delle applicazioni installate sul telefono, al server remoto
Mentre Geinimi puo' in remoto avviare un'applicazione da scaricare o disinstallarne una presente sul telefono, e sempre comunque richiesta la conferma utente per l'esecuzione dell'installazione o della disinstallazione.
Gli autori di Geinimi hanno aumentato la sofisticazione del codice che ora impiega tecniche di offuscamento del codice e crittografia dei codici di controllo e comando.
Chi e' la possibile vittima del malware ?
Attualmente abbiamo solo la prova che Geinimi e' distribuito attraverso app. store cinesi di terze parti.
Per scaricare un'applicazione da un negozio di terze parti, gli utenti Android devono consentire l'installazione di software da "fonti Sconosciute" (spesso chiamato "sideloading"). Geinimi potrebbe essere incluso anche in applicazioni per i telefoni Android in altre regioni geografiche.
Non abbiamo visto alcuna applicazione compromessa dal Trojan Geinimi sul sito ufficiale di Google Android Market.
Ci sono un certo numero di applicazioni, in genere i giochi, 'riconfezionate' con il Trojan Geinimi e pubblicate nei negozi di applicazioni cinesi, tra cuiMonkey Jump 2, Sex Positions, President vs. Aliens, City Defense and Baseball Superstars 2010
E 'importante ricordare che, anche se ci sono casi dei giochi riconfezionati con il cavallo di Troia, le versioni originali disponibili nelle lingue ufficiali di Google Android Market non sono state colpite.
-------------------------------------------------------------------------------------------------
Il post si conclude con le raccomandazioni per evitare di essere colpiti dal malware e che in definitiva sono le stesse applicabili anche agli utenti PC.
In pratica si tratta di scaricare solo applicazioni da fonti sicure dando anche una occhiata sia a chi risulta essere lo sviluppatore del software ed eventuali commenti in rete sul programma da installare.
E' inoltre bene ricordare che un comportamento insolito del cellulare potrebbe rivelare la presenza di malware installato (ad esempio richiesta di installazione di applicazioni sconosciute, SMS inviati in automatico ecc........)
E' utile utilizzare una applicazione di sicurezza mobile per il cellulare che analizzi ogni applicazione che si scarica.
Edgar