Un Trojan Android carica i plugin “al volo”

SecurityWeek annuncia la scoperta di un Trojan Android in grado di utilizzare (impropriamente!) il framework legittimo DroidPlugin per aggiornare se stesso e nascondere l’attività dannosa svolta.

Il malware mobile, denominato PluginPhantom da Palo Alto Networks, è specializzato nel furto dei dati, ed ha la capacità di rubare file, contatti, dati di geolocalizzazione e le informazioni correlate all’utilizzo del Wi-Fi. Esso è anche in grado di scattare foto, catturare screenshot, eseguire registrazioni audio, intercettare ed inviare SMS, registrare le sequenze dei tasti premuti.

PluginPhantom si distingue dagli altri Trojan Android multifunzionali per il fatto che utilizza DroidPlugin per ripartire le funzionalità nocive tra numerosi plugin, mentre l’applicazione host si comporta in maniera piuttosto “neutra”. Il framework di virtualizzazione DroidPlugin è stato sviluppato da Qihoo 360, società cinese specializzata in sicurezza IT e, secondo le spiegazioni offerte da BleepingComputer, esso consente agli sviluppatori di creare programmi Android capaci di caricare plugin da fonti locali o remote, in tempo reale; inoltre, non è richiesto il consenso dell’utente per il download e l’installazione di tale file APK.

Una soluzione progettuale del genere permette di alleggerire al massimo il programma, di supportare un elevato numero di account – elemento particolarmente utile, per le applicazioni, sui social network – e di distribuire “patch calde” in tempo reale, senza ricorrere al Google Play Store. I ricercatori si sono imbattuti per la prima volta in un malware capace di sfruttare le funzionalità di DroidPlugin; essi sottolineano, tra l’altro, come il nuovo arrivato renda di fatto più difficile il rilevamento statico.

Attualmente, PluginPhantom opera con nove plugin, i quali risultano incorporati nell’applicazione host in qualità di file asset. Tre di essi effettuano le operazioni di base, quali, ad esempio, le comunicazioni con il C&C, l’aggiornamento, il trasferimento dei dati sottratti, la trasmissione dei comandi agli altri moduli dannosi. I rimanenti plugin implementano funzionalità direttamente collegate al furto dei dati:

  • ricerca dei file e sistematizzazione, in base a vari parametri;
  • estrazione dei dati relativi alla geolocalizzazione del dispositivo mobile;
  • furto del registro delle chiamate, dell’ID del dispositivo, delle informazioni di contatto; intercettazione degli SMS e delle chiamate provenienti da determinati numeri;
  • scatti fotografici attraverso la fotocamera incorporata, ed esecuzione di screenshot;
  • registrazione del rumore di fondo su comando, e di tutte le chiamate in entrata;
  • furto delle informazioni relative al Wi-Fi (SSID, password, indirizzo IP, MAC), ai dati di sistema e alle applicazioni installate.

I ricercatori hanno ugualmente osservato come la stessa applicazione host sia in grado di svolgere funzioni di keylogging, utilizzando speciali funzionalità di Android (Accessibility); per far ciò, essa ha bisogno, tuttavia, dei diritti di accesso, che debbono essere richiesti all’utente – apparentemente attraverso un determinato servizio di pulizia della memoria.

Gli esperti hanno dichiarato a SecurityWeek di non avere alcun motivo per credere che PluginPhantom sia penetrato in Google Play, ma di non disporre, comunque, di informazioni riguardo alle sue modalità di diffusione. Non si è riusciti, per il momento, a determinare la gamma dei target presi di mira dal malware; i dati di geolocalizzazione raccolti da PluginPhantom, tuttavia, vengono associati al sistema di coordinate utilizzato dalle app di navigazione Baidu Maps e Amap Maps, estremamente popolari in Cina.

In conclusione, gli esponenti di Palo Alto hanno avvertito riguardo al fatto che altri virus writer potrebbero seguire l’esempio degli autori del nuovo malware Android, e che DroidPlugin potrebbe essere utilizzato in massa, sostituendo così la tecnica del repackaging, tanto in voga adesso. “Dal momento che il modello di sviluppo dei plugin è di natura generica, e che il relativo SDK può essere agevolmente integrato, la realizzazione di malware Android provvisti di architettura espandibile potrebbe divenire una vera e propria tendenza”, – dichiarano i ricercatori, come riferisce il reporter di SecurityWeek.

Securityweek

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *