News

Un Trojan Android carica i plugin “al volo”

SecurityWeek annuncia la scoperta di un Trojan Android in grado di utilizzare (impropriamente!) il framework legittimo DroidPlugin per aggiornare se stesso e nascondere l’attività dannosa svolta.

Il malware mobile, denominato PluginPhantom da Palo Alto Networks, è specializzato nel furto dei dati, ed ha la capacità di rubare file, contatti, dati di geolocalizzazione e le informazioni correlate all’utilizzo del Wi-Fi. Esso è anche in grado di scattare foto, catturare screenshot, eseguire registrazioni audio, intercettare ed inviare SMS, registrare le sequenze dei tasti premuti.

PluginPhantom si distingue dagli altri Trojan Android multifunzionali per il fatto che utilizza DroidPlugin per ripartire le funzionalità nocive tra numerosi plugin, mentre l’applicazione host si comporta in maniera piuttosto “neutra”. Il framework di virtualizzazione DroidPlugin è stato sviluppato da Qihoo 360, società cinese specializzata in sicurezza IT e, secondo le spiegazioni offerte da BleepingComputer, esso consente agli sviluppatori di creare programmi Android capaci di caricare plugin da fonti locali o remote, in tempo reale; inoltre, non è richiesto il consenso dell’utente per il download e l’installazione di tale file APK.

Una soluzione progettuale del genere permette di alleggerire al massimo il programma, di supportare un elevato numero di account – elemento particolarmente utile, per le applicazioni, sui social network – e di distribuire “patch calde” in tempo reale, senza ricorrere al Google Play Store. I ricercatori si sono imbattuti per la prima volta in un malware capace di sfruttare le funzionalità di DroidPlugin; essi sottolineano, tra l’altro, come il nuovo arrivato renda di fatto più difficile il rilevamento statico.

Attualmente, PluginPhantom opera con nove plugin, i quali risultano incorporati nell’applicazione host in qualità di file asset. Tre di essi effettuano le operazioni di base, quali, ad esempio, le comunicazioni con il C&C, l’aggiornamento, il trasferimento dei dati sottratti, la trasmissione dei comandi agli altri moduli dannosi. I rimanenti plugin implementano funzionalità direttamente collegate al furto dei dati:

  • ricerca dei file e sistematizzazione, in base a vari parametri;
  • estrazione dei dati relativi alla geolocalizzazione del dispositivo mobile;
  • furto del registro delle chiamate, dell’ID del dispositivo, delle informazioni di contatto; intercettazione degli SMS e delle chiamate provenienti da determinati numeri;
  • scatti fotografici attraverso la fotocamera incorporata, ed esecuzione di screenshot;
  • registrazione del rumore di fondo su comando, e di tutte le chiamate in entrata;
  • furto delle informazioni relative al Wi-Fi (SSID, password, indirizzo IP, MAC), ai dati di sistema e alle applicazioni installate.

I ricercatori hanno ugualmente osservato come la stessa applicazione host sia in grado di svolgere funzioni di keylogging, utilizzando speciali funzionalità di Android (Accessibility); per far ciò, essa ha bisogno, tuttavia, dei diritti di accesso, che debbono essere richiesti all’utente – apparentemente attraverso un determinato servizio di pulizia della memoria.

Gli esperti hanno dichiarato a SecurityWeek di non avere alcun motivo per credere che PluginPhantom sia penetrato in Google Play, ma di non disporre, comunque, di informazioni riguardo alle sue modalità di diffusione. Non si è riusciti, per il momento, a determinare la gamma dei target presi di mira dal malware; i dati di geolocalizzazione raccolti da PluginPhantom, tuttavia, vengono associati al sistema di coordinate utilizzato dalle app di navigazione Baidu Maps e Amap Maps, estremamente popolari in Cina.

In conclusione, gli esponenti di Palo Alto hanno avvertito riguardo al fatto che altri virus writer potrebbero seguire l’esempio degli autori del nuovo malware Android, e che DroidPlugin potrebbe essere utilizzato in massa, sostituendo così la tecnica del repackaging, tanto in voga adesso. “Dal momento che il modello di sviluppo dei plugin è di natura generica, e che il relativo SDK può essere agevolmente integrato, la realizzazione di malware Android provvisti di architettura espandibile potrebbe divenire una vera e propria tendenza”, – dichiarano i ricercatori, come riferisce il reporter di SecurityWeek.

Securityweek

Un Trojan Android carica i plugin “al volo”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox