Foto di Rami Al-zayat via Unsplash

La tua app preferita potrebbe non essere ciò che sembra

Pierguido Iezzi

Un malware che clona le app installate sul tuo telefono e le sostituisce con versioni piene di adware. Perché i rischi per la cyber security su mobile aumentano

Non è passato che qualche mese da quando il caso dello Spyware WhatsApp ha catturato l'attenzione dell'opinione pubblica. Un caso ‘da prima pagina’, non c’è dubbio, anche perché per molto tempo nella percezione popolare i malware erano limitati al mondo del pc. Ma la verità è ben diversa. I criminal hacker stanno puntando sempre di più al mobile come bersaglio primario per i loro attacchi. 

 

Può essere un’osservazione banale, ma deve espandersi la consapevolezza dei rischi che si annidano nei nostri device, perché stanno diventando rapidamente uno dei tramite primari per sottrarre dati e informazioni sensibili

 

A questo proposito, nelle ultime settimane, un gruppo di esperti di cyber security ha svelato i dettagli di un’ampia campagna hacker che ha come bersaglio il sistema operativo Android, statisticamente il più diffuso tra i device di tutto il mondo. Il malware, soprannominato Agente Smith – l’antagonista della trilogia di Matrix – proprio come il personaggio nato dalla penna dei fratelli Wachowski, sostituisce silenziosamente le applicazioni installate sul telefono bersaglio con delle versioni copia contenenti codice maligno. Si calcola che questa ‘infezione’ abbia colpito quasi 25 milioni di dispositivi mobile.

 

Lo scopo di questo attacco

Secondo lo stesso gruppo di ricercatori che ha svelato i dettagli di Agente Smith, la diffusione dell’infezione è partita attraverso gli App Store non ufficiali più utilizzati. Solitamente l’utente colpito viene in contatto con il malware nel momento in cui scarica il clone di un’applicazione, come giochi o software di fotomontaggio, abilmente camuffata per apparire come il prodotto cercato dall’utente. Una volta entrato, il malware sfrutta molteplici vulnerabilità Android – come Janus e Man-in-the-Disk – e inietta codice dannoso nei file APK delle applicazioni installate. Fatto questo, li reinstalla/aggiorna automaticamente senza che le vittime ne siano a conoscenza o interagiscano. Il Malware non si limita a scambiare una sola applicazione innocente con una copia infetta, ma lo fa per ogni singola applicazione sul dispositivo, sottolineano i ricercatori. Nel corso del tempo, il malware infetterà lo stesso dispositivo, ripetutamente, con patch dannose. Facendo due calcoli i ricercatori hanno stimato in totale oltre 2,8 miliardi di infezioni su circa 25 milioni di dispositivi unici. Ciò significa che, in media, ogni vittima avrebbe subito circa 112 sostituzioni di applicazione per device.

 

Agente Smith secondo i ricercatori è legato a un'azienda con sede in Cina. Il suo fine ultimo? Per ora solamente tempestare le vittime di annunci pubblicitari fraudolenti…

 

Il modus operandi

Ma nel dettaglio, come si comporta il malware? Dopo l'installazione di applicazioni boobytrapped, il malware Agent Smith sfrutta una catena di infezioni a tre fasi e contiene moduli diversi per ogni fase:

· Modulo Loader - L'applicazione iniziale che distribuisce il malware contiene un modulo chiamato Loader, il cui unico scopo è quello di decrittografare, estrarre ed eseguire il modulo della seconda fase chiamato Core.

· Core Module - Una volta eseguito il primo step, il modulo Core comunica con il server C&C degli aggressori per ricevere una lista di applicazioni popolari che devono essere prese di mira. Se trova una corrispondenza installata sul dispositivo della vittima, il modulo Core cerca di infettare l'APK mirato utilizzando Janus o semplicemente ricompilando l'APK con un payload in grado di causare danni. Inoltre, per installare automaticamente l'APK modificato e sostituire la versione originale senza il consenso degli utenti, gli aggressori utilizzano una serie di vulnerabilità zero-day, compreso l'attacco man-in-the-disk.

· Modulo di avvio - Questo modulo estrae ed esegue un payload dannoso, chiamato modulo Patch quando una vittima esegue l'applicazione modificata.

· Modulo patch - Il modulo patch è stato progettato per impedire che le applicazioni modificate ricevano aggiornamenti legittimi, che, se installati, ripristinerebbero tutte le modifiche dannose. Per disabilitare gli aggiornamenti automatici dell'applicazione infetta, questo modulo osserva la directory di aggiornamento per l'applicazione originale e rimuove il file una volta che appare.

· Modulo AdSDK – Questo modulo si prende in carico di mostrare agli utenti infetti tutti i banner e pubblicità dannose a fine d’estorsione caricate grazie all’opera di clonazione.

 

Solo il primo passo

Le implicazioni di questo malware sono sicuramente importanti, ma i ricercatori avvertono che questo malware modulare potrebbe essere facilmente adattato per scopi molto più intrusivi e dannosi, come il furto di informazioni sensibili: dai messaggi privati alle credenziali bancarie e molto altro ancora.

 

La prima occorrenza di Agente Smith, all'inizio del 2019, è stata riscontrata principalmente con un attacco mirato ai dispositivi Android in India (con 15 milioni di dispositivi infetti) e in altri paesi asiatici vicini come Pakistan, Bangladesh, Indonesia e Nepal. Tuttavia, il malware ha colpito anche un numero considerevole di dispositivi negli Stati Uniti (oltre 300.000 dispositivi infetti), in Australia (oltre 140.000 dispositivi infetti) e nel Regno Unito (oltre 135.000 dispositivi infetti). Oltre agli app store di terze parti, negli ultimi mesi i ricercatori hanno trovato sul Google Play Store almeno 11 app infette che contengono componenti maligni, ma inattivi dell'agente Smith. Ciò indica chiaramente che i criminal Hacker dietro questa campagna malware stanno anche cercando di trovare un modo per entrare nella piattaforma di Google per il download di app mobili per diffondere il loro adware (l’infezione che fa spam di pubblicità). Secondo quanto riferito, Google ha rimosso tutte le app dal suo negozio.

 

Come evitarlo

Poiché Agente Smith ha per lo più utenti infettati che hanno scaricato applicazioni da app store di terze parti, si consiglia vivamente agli utenti di scaricare sempre applicazioni da app store di fiducia per ridurre il rischio di infezione. Non solo, ecco alcune best practice per evitare questa infezione:

  • fare uno screening degli sviluppatori stessi: scegliete con cura e accertatevi che abbiano almeno un curriculum di applicazioni pubblicate comprovato;
  • Disinstallate anche tutte le applicazioni che sospettate possano essere dannose;
  • Poiché la vulnerabilità chiave che Agente Smith sta sfruttando risale al 2017 ed è già stata aggiornata, si raccomanda anche agli sviluppatori di applicazioni mobile di implementare l'ultimo APK Signature Scheme V2 per evitare che le applicazioni dannose sfruttino la vulnerabilità Janus di Android contro le loro applicazioni;
  • Non installate app distribuite tramite SMS, e-mail o annunci;
  • Prestare attenzione ad eventuali problemi di performance o anomalie del tuo dispositivo;
  • Prestare massima attenzione durante l'installazione delle app relativamente alle autorizzazioni di accesso ai servizi che l’app stessa richiede.
Di più su questi argomenti: