DualToy, il Trojan per Windows che attacca segretamente i dispositivi Android ed iOS

È stato scoperto un programma Trojan, destinato a colpire il sistema operativo Windows, in grado di caricare ulteriori malware sui dispositivi Android ed iOS, nel momento in cui questi ultimi vengono collegati tramite USB al computer infetto.

Secondo le informazioni rese note dai ricercatori di Palo Alto Networks, il Trojan in questione, denominato DualToy, è comparso in Rete circa un anno e mezzo fa; inizialmente, esso si limitava ad installare app indesiderate – tra cui i fastidiosissimi Adware – sui dispositivi mobile provvisti di OS Android. Sei mesi dopo, il software nocivo qui analizzato si presentava già in forma notevolmente evoluta, ed iniziava ad attaccare anche i dispositivi iOS, installando sugli stessi un client App Store di terze parti, allo scopo di intercettare login e password utilizzati per accedere a iTunes. “Quando ha cominciato la sua “avventura”, nel mese di gennaio del 2015, DualToy era in grado di infettare soltanto i dispositivi Android, – riferisce Claud Xiao, senior malware researcher presso Palo Alto Networks. – Il primo sample di DualToy capace di infettare i dispositivi iOS è stato da noi individuato soltanto sei mesi più tardi, il 7 giugno 2015. Successivamente, nel 2016, è poi comparsa una nuova variante del Trojan”.

Non risultano ancora ben chiare le modalità di cui si avvale DualToy per penetrare all’interno dei computer equipaggiati con sistema operativo Windows; ad ogni caso – secondo gli esperti – il malware, una volta introdottosi nel PC-vittima, ricerca iTunes e l’utility a riga di comando denominata Android Debug Bridge (ADB). Se non riesce ad individuarli, DualToy provvede al download e alla successiva installazione dei relativi driver, allo scopo di poter infettare i dispositivi mobile una volta che questi ultimi verranno collegati al computer sottoposto ad attacco. “Il livello di pericolosità della minaccia può essere sicuramente ridotto, limitando, di fatto, le potenzialità di tale vettore di attacco mediante l’utilizzo di meccanismi supplementari, quali, ad esempio, l’attivazione dell’Android Debug Bridge, oppure, su iOS, il ricorso all’apposita sandbox. Il malware DualToy, tuttavia, ci ricorda ancora una volta come, per realizzare l’attacco, gli aggressori possano distribuire un’applicazione mobile anche tramite la porta USB, ricorrendo al metodo del “side-loading”; il Trojan in causa, inoltre, conferma una volta di più come i programmi malware possano diffondersi attraverso le varie piattaforme esistenti”, – scrive Xiao.

Sinora, Palo Alto Networks ha complessivamente individuato circa 8.000 sample unici della nuova variante di DualToy; per il momento, comunque, non è stato ancora possibile determinare l’esatto numero delle infezioni realizzate dal Trojan sui dispositivi mobile. Il rischio di attacchi nei confronti del sistema operativo iOS, secondo le valutazioni effettuate da tale società, è comunque tutt’altro che elevato, se non trascurabile, visto che il certificato digitale Apple di cui il malware fa uso per installare il falso client App Store, è ormai scaduto, non risulta più valido.

I ricercatori, inoltre, non hanno mancato di sottolineare come, nel corso degli ultimi due anni, per quel che riguarda gli attacchi informatici portati nei confronti dei dispositivi mobile, si siano verificati vari altri casi di utilizzo, da parte dei malintenzionati, dell’insidiosa tecnica malevola definita con l’appellativo di “side-loading” (installazione del malware attraverso un’altra piattaforma). “Questo vettore di attacco sta acquisendo una popolarità sempre maggiore, presso gli ambienti cybercriminali, – constata Claud Xiao. – Basti ricordare, ad ogni caso, cosa ha fatto, in passato, WireLurker, il famigerato malware che installava applicazioni dannose su apparecchi iPhone non sottoposti a procedure di jailbreaking. A sua volta, il noto toolkit RCS di HackingTeam, recapitava il proprio spyware mobile, destinato a dispositivi iOS jailbroken, ed anche a telefoni BlackBerry, servendosi di PC e Mac infetti”.

Al momento attuale, DualToy prende di mira principalmente gli utenti cinesi; i ricercatori, tuttavia, hanno individuato casi di infezione anche negli Stati Uniti, in Gran Bretagna, Thailandia, Spagna e Irlanda. Una volta penetrato nel sistema, il malware provvede a scaricare dal proprio C&C un file denominato “adb.exe”, in sostanza l’utility ADB standard per i client Windows. Per contro, le varianti più recenti di DualToy recapitano, sul PC dell’utente-vittima, il file eseguibile “tadb.exe”; si tratta, nella circostanza, di un client ADB di tipo custom. Il Trojan effettua ugualmente il download di due installer, AppleMobileDeviceSupport64.msi ed AppleApplicationSupport64.msi, i quali fanno parte dell’applicazione ufficiale iTunes per Windows.

Sui dispositivi Android, DualToy installa varie app di gaming, realizzate in lingua cinese; verosimilmente, i malintenzionati vengono pagati dagli sviluppatori delle stesse per ogni installazione eseguita. Sui dispositivi iOS, invece, come abbiamo accennato in precedenza, il Trojan installa un falso App Store, allo scopo di rubare le credenziali (username e password) che consentono agli utenti di accedere ad iTunes. Anche l’utilizzo di un App Store fasullo non rappresenta di certo un elemento di novità, come ha sottolineato Xiao: “Tale applicazione è, in pratica, una variante dell’App Store iOS sviluppata da terze parti, proprio come ZergHelper. Essa presenta, inoltre, lo stesso identico comportamento di AceDeceiver. Quando viene lanciata per la prima volta, l’app richiede all’utente di inserire il proprio ID Apple e la propria password”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *