venerdì 31 dicembre 2010

Trojan Geinimi Nuova minaccia malware per Android (31 dicembre)

The Lookout Blog ha pubblicato il 29 dicembre un post relativo alla diffusione di un nuovo malware trojan che interessa dispositivi Android.

Ecco una parziale traduzione del testo pubblicato a cui rimando per una lettura piu' dettagliata:

-----------------------------------------------------------------------------------------
La minaccia:
Un nuovo Trojan che interessa i dispositivi Android e' emerso recentemente in Cina. Soprannominato "Geinimi", sulla base della sua prima comparsa in rete, questo Trojan puo' inviare ai server remoti una quantita' significativa di dati personali presenti sul telefono cellulare
Si tratta del piu' sofisticato malware Android visto sino ad oggi.
Geinimi e' anche il primo malware Android che mostra funzionalita' di rete bot-like.
Una volta che il malware viene installato sul telefono di un utente, ha la potenzialita' di ricevere comandi da un server remoto che consentono al proprietario di quel server il controllo del telefono colpito.

Geinimi viene diffuso attraverso la sua inclusione in versioni 'riconfezionate' di applicazioni legittime, principalmente giochi, che vengono distribuite sul mercato cinese.

Anche se l'intento di questo Trojan non e' del tutto chiaro, esiste la possibilta' che possa anche essere un tentativo di creare una botnet Android. ............

Come funziona:
Quando un'applicazione host contenente Geinimi viene lanciata sul telefono di un utente, il Trojan viene eseguito in background e raccoglie le informazioni significative che possono compromettere la privacy di un utente.
Le informazioni specifiche che raccoglie includono le coordinate di posizione, gli identificatori univoci per il dispositivo (IMEI) e della carta SIM (IMSI).
A intervalli di cinque minuti, Geinimi tenta di connettersi a un server remoto utilizzando uno dei dieci nomi di dominio che ha nel codice.

Un sottoinsieme dei nomi a dominio comprende www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com e www.piajesj.com.

Se il collegamento e' possibile, Geinimi trasmette le informazioni raccolte al server remoto.

Anche se abbiamo visto Geinimi comunicare con un server, non abbiamo ancora osservato un controllo pienamente operativo in risposta da parte del server che potrebbe inviare comandi al cellulare.

La nostra analisi del codice Geinimi e' in corso, ma abbiamo le prove delle seguenti funzionalita':

* Invio delle coordinate di posizione (location fine)
* Invio dei dati identificativi del dispositivo (IMEI e IMSI)
* Download e richiesta all'utente di installare una applicazione
* Richiesta all'utente di disinstallare una applicazione
* Invio della lista delle applicazioni installate sul telefono, al server remoto

Mentre Geinimi puo' in remoto avviare un'applicazione da scaricare o disinstallarne una presente sul telefono, e sempre comunque richiesta la conferma utente per l'esecuzione dell'installazione o della disinstallazione.

Gli autori di Geinimi hanno aumentato la sofisticazione del codice che ora impiega tecniche di offuscamento del codice e crittografia dei codici di controllo e comando.

Chi e' la possibile vittima del malware ?
Attualmente abbiamo solo la prova che Geinimi e' distribuito attraverso app. store cinesi di terze parti.
Per scaricare un'applicazione da un negozio di terze parti, gli utenti Android devono consentire l'installazione di software da "fonti Sconosciute" (spesso chiamato "sideloading"). Geinimi potrebbe essere incluso anche in applicazioni per i telefoni Android in altre regioni geografiche.
Non abbiamo visto alcuna applicazione compromessa dal Trojan Geinimi sul sito ufficiale di Google Android Market.

Ci sono un certo numero di applicazioni, in genere i giochi, 'riconfezionate' con il Trojan Geinimi e pubblicate nei negozi di applicazioni cinesi, tra cuiMonkey Jump 2, Sex Positions, President vs. Aliens, City Defense and Baseball Superstars 2010

E 'importante ricordare che, anche se ci sono casi dei giochi riconfezionati con il cavallo di Troia, le versioni originali disponibili nelle lingue ufficiali di Google Android Market non sono state colpite.

-------------------------------------------------------------------------------------------------

Il post si conclude con le raccomandazioni per evitare di essere colpiti dal malware e che in definitiva sono le stesse applicabili anche agli utenti PC.

In pratica si tratta di scaricare solo applicazioni da fonti sicure dando anche una occhiata sia a chi risulta essere lo sviluppatore del software ed eventuali commenti in rete sul programma da installare.

E' inoltre bene ricordare che un comportamento insolito del cellulare potrebbe rivelare la presenza di malware installato (ad esempio richiesta di installazione di applicazioni sconosciute, SMS inviati in automatico ecc........)
E' utile utilizzare una applicazione di sicurezza mobile per il cellulare che analizzi ogni applicazione che si scarica.

Edgar

Download 'Abode' Flash Player. Gli ingannevoli 'ADS' commerciali di Google

'Abode' nel titolo del post non e' un errore ma, come vedremo, e' quanto ci viene proposto da una ricerca Google.

Ecco alcuni dettagli partendo da quanto gia' analizzato piu' di un anno fa.

Il 22 ottobre 2009, in questo post, veniva illustrato come una ricerca Google di drivers per scheda video, (ma non solo), portasse a trovare links a decine di pagine costruite con tecniche che siamo piu' abitati a vedere nel phishing.

Si trattava di pagine che riproducevano layout simile a quello delle originali case produttrici di hardware video e che proponevano un software di generico aggiornamento dei drivers sul nostro PC, software che naturalmente doveva essere registrato a pagamento per poter funzionare.

I links alle pagine in questione apparivano su una ricerca Google negli 'ADS' commerciali inseriti in testa alla pagina e distinguerli dai risultati reali delle ricerche non appariva poi cosi ovvio.

Gli 'ADS' pubblicitari son infatti evidenziati da una piccola scritta 'ad' a destra del testo e da un colore differente dello sfondo ma molto simile a quello di background della pagina, almeno nel mio layout Google.

Sempre in riferimento alle pagine di drivers video abbiamo anche adesso ricerche Google, con risultati simili, segno che quanto visto un anno fa va avanti seppur con differenti indirizzi web

con

ed ancora

con in particolare il testo che evidenzia come quello che scaricheremo sia un installer di driver video ATI (in realta' un generico software di ricerca drivers)

Veniamo invece quello che succede attualmente con una ricerca, ad esempio, con testo 'Flash Player Adobe'

Come noterete siamo in presenza di un risultato di ricerca particolare il cui AD commerciale presenta:

----------------------------------------------------------------
Download Abode Flash Player
Looking For Download Abode Flash Player Download Here.
Searchelf.com
---------------------------------------------------------------

Da notare il nome Adobe modificato in Abode sia nel titolo che nel testo , (che sia cosa voluta per evitare 'contestazioni ' dalla reale Adobe ?) ed un link a Searchelf.com cliccando sul quale, appare questa pagina ingannevole:

Oltre alla grande scritta, pure qui con Abode al posto di Adobe , che farebbe pensare ad un download di FlashPlayer, ci sono due links di cui uno molto evidenziato “download free” che in realta' puntano ad install di addon (nel caso di firefox)

e precisamente di una toolbar per il browser:

ed anche la consueta modifica della nostra home page di default di avvio di Firefox.

Effettuando altre ricerche simili , ad esempio per Adobe Acrobat Reader ecco ancora un risultato come il precedente, e con nuovamente il link alla installazione della toolbar

Quindi, nel caso analizzato relativamente a Firefox abbiamo in pratica 3 addons installati, dei quali fortunatamente, e' abbastanza agevole la disinstallazione tramite il relativo pannello di controllo .

La possibile presenza adware su quanto installato vede contrastanti i giudizi espressi in rete:

Mentre sia Norton Safe Web che McAfee Site Advisor considerano il sito di link alla toolbar searchelf.com privo di problemi , gli utenti di mywot sembrano invece avere al riguardo giudizi negativi catalogando searchelf tra i possibili distributori di adware.

In ogni caso resta comunque il fatto che chi aveva effettuato un ricerca per attivare Adobe Flash Player si possa trovare con una toolbar installata sul browser e probabilmente 'non richiesta', ed inoltre, quello che forse rimane meno accettabile, e' come il download dell'addon toolbar venga camuffato attraverso una ricerca in rete di tutt'altro genere.

Edgar

giovedì 30 dicembre 2010

Aggiornamento phishing Cassa di Risparmio di Volterra (29 - 30 dicembre)

Raramente e' capitato di vedere in azioni di phishing una situazione come quella attuale con un istituto bancario che rimane nelle attenzioni di phishers in modo continuativo per cosi' tanto tempo.
E' infatti ormai da parecchi giorni che , almeno per quanto riguarda phishing che sfrutta alternativamente files managers come Innova Studio e Easy Content, banca C.R. Di Volterra continua ad essere il bersaglio preferito.

Nella giornata di ieri (pomeriggio (ora thai) del 29 dicembre) abbiamo avuto il ritorno dell'uso di Easy Content file manager


con codice di redir
con whois

e diverso dominio rispetto a quello dei giorni precedenti.


Questa mattina (30 dicembre) notiamo come i files di redirect siano diventati due

ma si sia anche tornati ad utilizzare un vecchio sito (sempre con whois turco ed Easy Content f.m.) gia' molto usato in passato.

I siti finali di phishing sono sempre hostati su servizio USA e il dominio viene spesso cambiato creandone di nuovi praticamente ogni giorno (quello nello screenshot e' attualmente in uso – notare data odierna)

cosi come in maniera piu' frequente, anche il percorso al sito clone della banca, viene modificato per evitare che il sito di phishing sia inserito in blacklist.
Ecco a dimostrazione di questo, un semplice report in data 28-29 dicembre con alcune delle 'varianti' del percorso al sito clone ma sempre su medesimo nome di dominio

Edgar

Siti compromessi IT (agg. 30 dicembre)

Una analisi di reverse IP su
rivela che piu' della meta' dei 370 sources scaricati dal tool Webscanner (275) presentano attualmente

Questo un report relativo ai siti colpiti

Edgar

mercoledì 29 dicembre 2010

Phishing PayPal in italiano ed ospitato su siti IT compromessi (29 dicembre)

Il phishing ai danni di PayPal e' sicuramente uno dei piu' diffusi in rete.

Vediamo alcuni casi odierni che presentano non solo phishing ai danni di utenti italiani ma anche uso di siti IT compromessi per ospitare i siti clone.

La particolarita' e' che si tratta di siti con whois appartenente al medesimo range IT

e che presentano medesima struttura del sito clone con la sola differenza della mail di invio dei dati acquisiti (sempre stesso dominio francese ma diverso nominativo).

Ecco un sito di ristorante IT che presenta questa struttura nella parte relativa al sito clone PayPal

Si puo' notare un kit di phishing con data recente che analizzato mostra il consueto codice php aggiornato

che in dettaglio, dopo aver acquisito i numerosi dati richiesti attraverso alcuni form, li invia tramite mail con dominio FR

Da notare come i nomi delle variabili dei campi di input siano in lingua francese, cosa che si conferma anche per alcune parti di testo delle pagine di phishing non tradotte

ed anche per i numerosi messaggi a fronte della verifica dei dati immessi nel falso form

A conferma di questo anche il fatto che dopo aver acquisito i dati il sito clone redirige su reale sito Paypal in lingua francese.

Altro sito IT, sempre compromesso, ospita l'identico phishing Paypal di cui vediamo la struttura simile alla precedente.

Da notare come in questo kit siano presenti due mails di invio dei dati raccolti, di cui una su stesso dominio FR ma diverso nominativo.

Edgar

martedì 28 dicembre 2010

Aggiornamento phishing Cassa di Risparmio di Volterra (pomeriggio 28 dicembre)

Un breve aggiornamento pomeridiano che vede un nuovo sito di redirect al phishing C.R. di Volterra

Si tratta di sito con whois USA ma in lingua spagnola che utilizza ancora una volta Innova Studio asset manager

Il sito in questione e' ampiamente compromesso come si nota sia dalla home che in cache Google in data 10 dicembre non risultava modificata ma che attualmente presenta

cosi come altre pagine interne tra cui questo editor

Il redirect punta, come al solito, su sito creato ieri sempre su web hosting USA

Questo un dettaglio del contenuto del folder assets dove troviamo insieme al file di redirect un buon numero di codici di shells con date non recenti e comunque non attivi.

Edgar

Aggiornamento phishing Cassa di Risparmio di Volterra (28 dicembre)

Ecco le ultime 'novita' sul phishing ai danni di Cassa di Risparmio di Volterra.
Nella giornata di ieri (27 dic.) veniva utilizzato il medesimo sito di redirect su whois turco che era gia' stato utilizzato in precedenza. (gestione del codice di redir attraverso Easy Content f.m.)

Attualmente il codice risulta nuovamente modificato

puntando sempre a stesso dominio usato ieri ma su differente percorso a folder con il sito clone della banca


Edgar

Siti IT compromessi. (agg.28 dicembre)

Una buona parte dei siti IT rilevati con un reverse IP su

appaiono aver subito una tipica azione di 'mass defacement'.

Questa la homepage dei siti colpiti (uguale ad esempio a quella illustrata in questo precedente post)

mentre, questo, un parziale report

che evidenzia come la quasi totalita' dei sorgenti delle homepage scaricati dal tool Webscanner presenti il codice di hacking.

Edgar

lunedì 27 dicembre 2010

Aggiornamento phishing Cassa Risparmio di Volterra (27 dicembre)

Continua l'azione di phishing ai danni di C.R. di Volterra che vede ora il nuovo ri-utilizzo di Easy Content file manager su sito con whois turco ampiamente sfruttato in passato.

In questo screenshot vediamo il file con data attuale

contenente codice di redirect

che punta al consueto dominio 'usa e getta' creato e registrato oggi

sempre su noto servizio di web hosting USA.

Edgar

Distribuzione malware attraverso forums IT o siti Moodle (agg. 27 dicembre)

AVVISO ! Ricordo, come sempre, che anche se i links sono in chiaro negli screenshot, evitate di visitare i siti elencati se non avete preso tutte le precauzioni del caso (sandboxie, noscript, pc virtuale ecc..

Continuano ad essere proposti in rete attraverso post su forum IT ma anche con pagine di falsi profili utente Moodle, files eseguibili poco riconosciuti dai softwares AV.

Ecco alcuni 'aggiornamenti ' su files linkati in data odierna:


Ecco come si presenta la lista dei posts su attuale forum IT

dove i nuovi post presentano time aggiornato ad intervalli di circa 3 minuti

Questo il dettaglio di un post

dove, cliccando sia sul 'fake player' che sulle immagini presenti otteniamo un redirect a


oppure a

Una analisi VT mostra ad esempio per uno degli eseguibili scaricati

con un basso numero di riconoscimento del contenuto pericoloso.

Questo invece il fake player linkato da siti Moodle gia' analizzato in questo post,

e che continua a linkare file eseguibile con bassi livelli di riconoscimento del malware.

Per terminare ecco un altro fake player, sempre linkato da post su forum IT

con riconoscimento ancora piu' basso dei precedenti files analizzati oggi

Edgar