Nel recente F-Secure Mobile Threat Report Q1 2012 (PDF scaricabile qui) si nota come Android, vista la grande diffusione di dispositivi sui quali e' installato, dimostri essere al primo posto come bersaglio dei creatori di malware.
Questo il grafico che, anche se denota una leggera flessione a fine 2011, evidenzia come il numero di nuovi malware o varianti degli stessi mostri un incremento annuale del 270%.
Questo il grafico che, anche se denota una leggera flessione a fine 2011, evidenzia come il numero di nuovi malware o varianti degli stessi mostri un incremento annuale del 270%.
Non sorprende quindi che basti una semplice ricerca in rete per trovare svariate versioni di malware per Android sotto forma di giochi ma anche di applicazioni di altra natura.
Il sistema utilizzato e' comunque quasi sempre quello di creare cloni di software legittimo, preferibilmente non free ma disponibile a pagamento, al fine di invogliare a scaricare una 'copia' free senza dover pagare per ottenerla.
Naturalmente vengono anche create false applicazioni specialmente di fake install, come abbiamo gia' visto, di noti players come es. Flash, falsi install di applicazioni di social network o comunicazione come Skype ..ecc....
Inoltre una delle caratteristiche usate e' quella di creare pagine di falsi market Android che ricalcano in tutto o in parte i loghi e layout del noto Google Play
Capita cosi' di trovare on-line tutta una serie di pagine che servono al redirect ai malware Android come ad esempio questa pagina che vuole simulare un layout di motore di ricerca (notare al scritta BING in alto a sinistra)
ma che punta con tutti i suoi links a Market Android fasullo ma ben strutturato.
Naturalmente tutte le tecniche utilizzate nella distribuzione 'tradizionale' di malware per PC sono riprese anche in questi casi, come ad esempio il fatto che consultando la pagina del fake search engine attraverso IP Thai si viene rediretti alla pagina in lingua thai di Google (riconoscimento degli IP di provenienza)
mentre usando un IP in range, ad esempio, IT abbiamo
con ampia scelta di fake software Android.
Anche l'utilizzo di User Agent per identificare un accesso da dispositivo mobile pare essere usato in maniera estesa per proporre files adeguati al S.O. in uso, cosa che vedremo in seguito nel post.
Analizziamo adesso invece che il solito 'Angry Bird” questo 'Talking Tom Cat'
anche perche' proprio da poco e' stato riportato in rete un post Symantec che ha verificato una variante di nuovo malware che sfrutta questo game.
Nel dettaglio una analisi VT del fake game scaricato mostra
con
Considerato che un gioco diffuso e' sempre una buona 'base di partenza' per chi vuole distribuire false applicazioni Android, proviamo a cercare in rete altri cloni di Talking Tom Cat
Come c'era da aspettarsi sono centinaia i files proposti che dovrebbero tutti permettere di giocare su Android con il 'gatto parlante' Tom.
Ecco una lista parziale di cosa si trova in rete
Specialmente per quelli di dimensioni ridotte , poche decine di KB, ci vuole poco a capire che del gioco originale portano solo il nome.
Entriamo ora in specifici dettagli relativamente a comportamenti sensibili a User Agent di alcuni di questi siti:
Questo e' uno dei siti rilevati che propongono il file apk Talking Cat Tom
Entriamo ora in specifici dettagli relativamente a comportamenti sensibili a User Agent di alcuni di questi siti:
Questo e' uno dei siti rilevati che propongono il file apk Talking Cat Tom
La prima cosa interessante che si vede lanciando l'url su Android in Vbox e' che ci viene proposto un flash player.
Per verificare meglio torniamo ad ambiente Windows e passiamo un “user agent” adeguato (Android)
Quello che otteniamo e' la proposta di un apk flash player similmente a quanto succedeva in Android Vbox.
La pagina flash proposta e tradotta
mostra la 'solita' richiesta di aggiornamento del player Flash.
Si tratta di sito che potrebbe comunque essere utilizzato anche al di fuori di questo specifico attacco malware in quanto gia' dalla url ingannevole si capisce come sia in atto un tentativo di proporre il fake aggiornamento del Flash player.
Questa una analisi VT del fake Flash setup:
Questa una analisi VT del fake Flash setup:
con
Eseguendo l'applicazione 'Talking Cat Tom' in vbox possiamo osservare le varie fasi di fake install,
Proviamo a confrontare questo apk con quello proposto dall'analisi Symantec.
Ecco un dettaglio interrogando da browser il link usato da Symantec dove si puo' notare la proposta di formato APK ma anche JAR (per dispositivi non Android)
Eseguendo in particolare il file APK scaricato dal sito abbiamo una diversa pagina di links proposti al termine della fake installazione:
Questo il primo caso analizzato
Questo il primo caso analizzato
mentre nel caso Symantec abbiamo pagina simile ma il primo link punta a Google Play con la pagina del reale e free software “Talking Cat Tom”
Chiaramente chi fosse caduto ne tranello della fake installazione avrebbe a questo punto gia 'pagato' attraverso sms premium, inviato in maniera automatica e nascosta durante il falso setup.
L'installazione del gioco legittimo tramite link a Google Play cambia quindi poco al riguardo delle finalita' di questo genere di malware che sono sempre quelle di invio a numeri di servizi a pagamento di sms.
Per terminare ecco un altro sito che propone il medesimo software visto prima ma il cui file e' proposto con estensione .jar
Per terminare ecco un altro sito che propone il medesimo software visto prima ma il cui file e' proposto con estensione .jar
Questa una analisi VT:
con
Da notare come anche in questo caso il download del file non avviene dal medesimo IP ma un whois mostra un server USA che distribuisce i files.
Anche nei casi precedenti si era sempre visto che i files .apk sono di solito hostati su diverso IP rispetto al sito che li propone, ed anche nel caso segnalatoda Symantec, avevamo questo link ad apk con url che mostra la possibilita', variandone la parte numerica,di downloadare differente nome di file e dai diversi contenuti (vedi questo post)
Anche se al momento i siti che propongono link a questi falsi Market Android e relativi files .apk sono su dominio .ru o comunque in lingua russa, parte dei files visti appaino in torrent, siti che propongono .apk sprotetti ecc... ed e' quindi e possibile che la diffusione di questi contenuti malware non rimanga limitata all'Est Europa.
Come conclude anche il post Symantec la cosa migliore e' quindi quella di installare applicazioni al di fuori di Google Play solo se si usano siti attendibili e controllando sempre le autorizzazioni richieste dal software.
Di solito i giochi non necessitano di permessi particolari quali ad esempio l'invio o la ricezione di SMS ed, al limite, si puo' anche evitare di installare l'applicazione, se nella lista delle autorizzazioni richieste ce ne sono alcune non conosciute o comunque che fanno pensare ad una attivita' nascosta del software.
Di solito i giochi non necessitano di permessi particolari quali ad esempio l'invio o la ricezione di SMS ed, al limite, si puo' anche evitare di installare l'applicazione, se nella lista delle autorizzazioni richieste ce ne sono alcune non conosciute o comunque che fanno pensare ad una attivita' nascosta del software.
Edgar
Nessun commento:
Posta un commento