martedì 15 maggio 2012

Diffusione di malware Android attraverso repository con centinaia di files .APK dai dubbi contenuti (15 maggio)

Sempre molto attiva la diffusione di software malevolo Android che una volta installato, esegue operazioni nascoste quali l'invio di SMS a pagamento,  l'acquisizione ed invio a servers remoti di dati personali presenti sul dispositivo mobile ecc...

Di solito la 'distribuzione' di queste applicazioni dai contenuti malevoli avviene facendole passare per software legittimo ed i giochi sono una delle categorie piu' utilizzate attraverso la proposta di software dal nome che ricorda o addirittura  riproduce interamente quello di softwares noti e quasi sempre a pagamento.

Tra l'altro la relativa facilita con cui una applicazione Android puo' venire installata sul dispositivo mobile, aumenta il rischio che sia caricata ed eseguita senza particolare attenzione ai messaggi di  richiesta di autorizzazione all'esecuzione  che ci dovrebbero avvisare di possibili dei comportamenti “anomali” rispetto a quanto stiamo installando.

Anche se esistono diversi malware che riescono a bypassare le varie limitazioni imposte dalla configurazione del dispositivo mobile e' comunque interessante vedere, che spesso vengono  evidenziate richieste particolari da parte del programma in fase di installazione come quelle che osserviamo in uno screenshot del run dell'apk in Virtual Box di un game scaricato da sito su dominio .RU.


Come si puo' notare e' fatta richiesta di autorizzare l'invio di SMS, cosa che dovrebbe far pensare sulle possibili conseguenze di tale operazione.
Una delle particolarita' di alcuni software malware attualmente in circolazione, naturalmente non solo per Android, e' proprio quella di inviare SMS in maniera automatica e nascosta ed a numeri a pagamento.

Tornando alla diffusione di malware per lo specifico sistema operativo Android, nel precedente post veniva indicato come fosse possibile, attraverso una modifica dell'indirizzo web  di uno dei domini coinvolti nella distribuzione di un fake install Flash player, il download di differenti files sia APK ma anche JAR.

Ecco che attraverso l'uso di HTTRACK con opportuna esecuzione  da linea comando, possiamo automatizzare l'analisi ricorsiva di uno di questi indirizzi web esplorando un range molto vasto  di variazione della 'chiave numerica' che compare nella URL ( es variandola da 1.500 a 4.500) ottenendo:

.

ed anche

ed ancora


Sii tratta di centinaia di files  (probabilmente per un totale di piu' di 2.000) proposti al variare della chiave numerica presente nella URL e tutti con nomi che ricordano quelli di applicazioni legittime Android anche recenti.

Da evidenziare come le dimensioni dei files proposti non siano tutte uguali cosa che dimostra che non si tratta solo di una semplice operazione di 'rename' dello stesso contento ma di veri e propri differenti APK.
E' quindi evidente come simile meccanismo di download con variazione della url possa poi essere usato da chi vuol distribuire malware attraverso la creazione di pagine on-line che presentino links di questo, tipo proponendo una ampia scelta di files malevoli e per differenti sistemi operativi e non solamente telefoni o tablets Android.

Edgar

Nessun commento: