giovedì 12 luglio 2012

Android malware su Google Play. Recenti sviluppi (12 luglio)

Pubblicato sul blog Symantec un post che rileva come siano stati identificati su Google Play, due titoli di popolari games, uno come "Super Mario Bros." e l'altro come "GTA 3 Moscow City" che distribuivano un trojan Android.


(Credit: Symantec)

La cosa preoccupante e' che entrambi gli Apk parrebbero essere stati distribuiti da Google Play a partire dal  24 giugno, permettendo cosi' un elevato numero di download (si stima dai 50.000 a 100.000 )

Gia' in questo post dello scorso mese “ Alcuni ricercatori avrebbero trovato il modo di bypassare il controllo anti-malware di Google Play “ evidenziavo come si fossero trovati dei metodi atti a bypassare il filtro di Google Play (chiamato Bouncer), filtro che dovrebbe rilevare possibili codici malware all'interno delle applicazioni proposte per il download sul market di Google.

In pratica si tratta di nascondere il codice malevolo se questo si 'accorge' di essere eseguito in Bouncer ,  non compiendo nessuna  operazione 'sospetta' che possa venire rivelata dallo scanner Google, per poi scaricare un exploit da server remoto  se il malware rileva di essere in 'run' in un reale dispositivo mobile. 

 A differenza di quanto esposto nel precedente post, questa volta si sarebbe comunque utilizzato un sistema noto da tempo e discusso in questo vecchio post Symantec, (2011)
Riassumendo,  un APK dannoso viene installato in due fasi, la prima che consiste  nella pubblicazione del gioco sul market, cosa che non provoca azioni da parte del filtro antimalware, mentre nella seconda fase il 'gioco' scarichera' un payload malevolo, ospitato ad esempio su Dropbox, e chiamato 'Activator.apk'.
Inutile dire che il pacchetto aggiuntivo attuera' azioni malevoli quali, ad esempio, l'invio di  messaggi SMS a numeri 'premium” a tariffa maggiorata. (Numeri SMS Est Europei).

Un interessante 'comportamento' del payload secondario e' che,dopo l'invio dei messaggi SMS premium, propone la sua disinstallazione, con un evidente tentativo di nascondere la natura dannosa dell'applicazione.



La caratteristica tutto sommato piu' rilevante dell'intera vicenda rimane il fatto che le applicazioni APK malevoli sono rimaste ON-Line su Google Play per diverso tempo facendo segnare elevati numeri di download e di conseguenza un altrettanto probabile alto numero di utenti caduti nel tranello del gioco fake.

Edgar

Nessun commento: