Rimosso da Google Play il ransomware Charger

I ricercatori di Check Point hanno identificato una nuova variante di ransomware per Android, denominata Charger. Tale malware è stato introdotto nell’app EnergyRescue, un’utility impiegata per la gestione della batteria, distribuita attraverso Google Play.

Check Point ha individuato l’applicazione infetta tre settimane fa; Google, da parte sua, ha già provveduto a rimuovere la stessa dal proprio app store. Secondo gli esperti, la distribuzione di malware attraverso Google Play rappresenta una mossa decisamente audace e provocatoria, da parte dei cybercriminali; nella stragrande maggioranza dei casi, in effetti, i malware destinati all’OS Android vengono diffusi tramite app store di terze parti.

“Charger può di fatto testimoniare come gli sviluppatori di malware mobile stiano intensificando i loro sforzi, nel tentativo di raggiungere risultati analoghi a quelli conseguiti dai propri “colleghi di reparto” orientati verso i PC”, – scrivono Oren Koriat e Andrey Polkovnichenko sul blog di Check Point. Commentando con Threatpost la specifica situazione, i ricercatori hanno dichiarato: “EnergyRescue è attualmente in possesso dell’arsenale in assoluto più ricco, sinora mai visto, per ciò che riguarda gli strumenti preposti ad eludere eventuali analisi”.

Secondo quanto asseriscono i due esperti, la maggior parte dei programmi malware che riescono a penetrare all’interno di Google Play viene appositamente progettata per far visualizzare agli utenti pubblicità indesiderate, in grado di generare profitti per i malintenzionati. Charger, tuttavia, persegue scopi diversi: l’obiettivo è l’utente stesso. Una volta installata, l’app EnergyRescue infetta provvede a carpire sia i contatti della vittima, sia gli SMS, e cerca ugualmente di ottenere i diritti di amministratore. “Se l’utente fornisce tali privilegi, il ransomware blocca il dispositivo, per poi mostrare un messaggio contenente la richiesta di pagamento”, – riferiscono i ricercatori.

L’entità del riscatto è pari a 0,2 bitcoin (180 dollari USD). Il testo del messaggio prodotto da Charger – scritto, a dir la verità, in maniera piuttosto approssimativa e sconclusionata, ed infarcito di esclamazioni – inizia con la seguente minaccia: “È necessario che paghiate per noi, altrimenti venderemo una parte delle vostre informazioni personali sul mercato nero, ogni 30 minuti”. Allo stesso tempo, i cybercriminali assicurano che “i file verranno ripristinati” dopo aver ricevuto il pagamento, e che tutti i dati personali in loro possesso saranno eliminati. “Noi raccogliamo e scarichiamo tutti i vostri dati personali, – recita il messaggio generato dal malware. – Tutte le informazioni sui vostri social network, account Bancari, Carte di Credito. Raccogliamo tutti i dati sui vostri amici e sulla vostra famiglia”.

Di fatto, Charger non codifica le informazioni custodite nello smartphone; esso provvede semplicemente a bloccare il dispositivo, e mostra poi la notifica in cui si richiede il pagamento del riscatto. “La maggior parte dei programmi malware individuati all’interno di Google Play contiene, in sostanza, solo un dropper, il quale, in seguito, scarica sul dispositivo gli effettivi componenti dannosi, – scrivono Koriat e Polkovnichenko. – Charger utilizza un approccio diverso: esso viene accuratamente “impacchettato”; questo impedisce al malware di passare inosservato; Charger, quindi, deve necessariamente compensare tutto questo con altri mezzi”.

Una delle tecniche di occultamento adottate consiste nel codificare le stringhe in array binari, difficili da analizzare. Charger, allo stesso modo, “carica dinamicamente il codice da risorse cifrate; la maggior parte degli strumenti di rilevamento non è così in grado di penetrare al suo interno, per eseguire i necessari controlli”. Per nascondere le reali intenzioni dell’app nociva, i virus writer hanno inserito, nel codice, dei comandi del tutto privi di senso, mascherando, in questo modo, il flusso dei comandi veri e propri; essi, inoltre, hanno dotato il software nocivo in causa di appositi strumenti per rilevare l’eventuale esecuzione dello stesso in un emulatore del sistema operativo: in tal caso, Charger passa ad una sorta di “modalità sleep”. “Questo significa che gli strumenti di analisi statica, quali ad esempio Bouncer, non saranno in grado di analizzare le porzioni di codice crittografate, responsabili delle attività malevole”, – spiegano i ricercatori.

I ransomware destinati ai dispositivi mobile, secondo Check Point, sono ancora un fenomeno relativamente nuovo. La maggior parte di tali infezioni avviene “aggirando” l’app store ufficiale, per mezzo di programmi side-loaded provenienti da siti di terze parti.

In una breve dichiarazione rilasciata a Threatpost, gli esponenti di Google hanno affermato quanto segue: “Apprezziamo gli sforzi prodotti da Check Point, volti ad accrescere la consapevolezza riguardo a tale problema. Abbiamo adottato, su Play, tutte le misure necessarie, e continueremo a lavorare in stretta collaborazione con la comunità dei ricercatori, per garantire la sicurezza degli utenti di Android”.

Google sottolinea come le applicazioni presenti nel proprio app store vengano sottoposte ad accurate verifiche per ciò che riguarda la loro conformità alle Norme del programma per gli sviluppatori ed al Contratto di distribuzione per gli sviluppatori. Questo impedisce ad eventuali malintenzionati di distribuire app dannose mascherando le stesse in veste di applicazioni legittime, oppure di introdurre all’interno di Google Play programmi che manifestino tendenze ed inclinazioni truffaldine. Sulla pagina dedicata alla sicurezza Android si afferma: “Tutte le app Android vengono sottoposte a rigorosi test di sicurezza prima di essere inserite nel Google Play Store. Controlliamo ogni sviluppatore di app di Google Play e sospendiamo chi vìola le nostre norme, pertanto puoi essere certo che le app che installi sono sicure”.

Google, tuttavia, conta ugualmente “sulla community degli utenti e degli sviluppatori, i quali hanno tutto il diritto di segnalare le app da sottoporre ad ulteriori verifiche”.

Gli esponenti di Check Point, a loro volta, hanno dichiarato che EnergyRescue, per quel che è noto, – è l’unica app contenente il ransomware Charger: “Riteniamo che si sia trattato di una sorta di prova generale da parte dei virus writer; possiamo quindi attenderci, in futuro, ulteriori tentativi del genere”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *