Aggiornamenti recenti Novembre 21st, 2024 8:55 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
Android: attacco in due mosse… col trucco
Il malware viene scaricato da un’app apparentemente innocua e blocca il sistema per il tempo che serve e impedire la disinstallazione.
Sempre più sofisticati, sfruttando semplicemente i “buchi” del sistema operativo. Gli autori di malware per il sistema Android, negli ultimi mesi, stanno dimostrando di avere una certa inventiva nello sfruttare le caratteristiche (debolezze?) del sistema operativo Google.
L’ultima trovata è quella di usare una tecnica di attacco in due fasi: la prima app scarica il malware vero e proprio, che blocca lo smartphone ogni volta che si prova a disinstallarlo.
A spiegare come funziona il tutto ci hanno pensato i ricercatori di Zscaler che in un report illustrano la tecnica usata dai pirati informatici per infettare i dispositivi.
La campagna di distribuzione individuata dai ricercatori ha sfruttato come veicolo di infezione primario degli avvisi pubblicitari pubblicati su un forum online chiamato GodLikeProcductions.
Il trucchetto porta al download di un’app chiamata Ks Clean (kskas.apk) che dovrebbe essere un “cleaner” per sistemi Android. L’app, però, ha una sola funzione: visualizzare un falso messaggio di aggiornamento che ha un unico pulsante nella finestra: OK.
Sul tuo smartphone c’è un problema di sicurezza! Installa questo agfgiornamento per un’applicazione sconosciuta che è stata scaricata automaticamente da un forum dalla dubbia reputazione e vedrai che andrà tutto a posto…
Insomma: una volta installata l’app, sullo schermo dello smartphone compare l’avviso intitolato “update” giustificato da presunti rischi per la sicurezza dei dati e riguardo il quale l’utente non ha apparentemente altra scelta se non quella di acconsentire al presunto aggiornamento.
Peccato che l’update, in realtà, sia un installer. E più precisamente l’installazione di un’app che chiede immediatamente privilegi di amministratore. Se l’utente glieli concede, se la ritrova installata sul dispositivo senza possibilità di rimuoverla.
Per impedire la rimozione, Update.APK utilizza un semplice trucchetto: visto che è impossibile disinstallare un’app con privilegi di amministratore prima di aver revocato i privilegi stessi, utilizza una funzione che “congela” lo smartphone ogni volta che si cerca di intervenire sui permessi relativi all’app.
Risultato: Update.APK non può essere rimosso in alcun modo. A questo punto, il malware comincia a visualizzare pubblicità indesiderate sul dispositivo, ma si riserva anche di fare altro.
Secondo i ricercatori di Zscaler, infatti, Update.APK instaura una connessione con un server Command and Control e ha la possibilità di modificare le impostazioni del dispositivo, scaricare dati senza alcun avviso e attivare funzioni di overlay sull’interfaccia, una tecnica utilizzata spesso come strumento di keylogging sugli smartphone.
Insomma: oltre a visualizzare pubblicità indesiderata, Update.APK potrebbe in futuro anche rubare credenziali di accesso, informazioni riservate e messaggi.
La campagna di distribuzione individuata da Zscaler, fortunatamente, ha dimensioni estremamente ridotte: circa 300 istanze localizzate per lo più in USA, Gran Bretagna e Francia. La tecnica utilizzata per impedire l’installazione, però, potrebbe essere clonata facilmente e utilizzata in altri malware. Occhi aperti e… diffidate degli update non richiesti dal sistema.
Condividi l'articolo
Un trojan usa i Raspberry Pi per generare cripto-valuta. Ma ha senso?
Traditi dalla stampante. The Intercept “brucia” la sua talpa nell’NSA
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato...
Ransomware: la serie
No posts found.
