About these ads
Home > Mobile, Security > Se L’Androide Evapora

Se L’Androide Evapora


L’ultima segnalazione in fatto di malware per il povero Androide ce la segnala Symantec. E’ di queste ore la notizia della scoperta di un nuovo malware per il povero Androide senza pace. Android.Pjapps, questo il nome del malware, che si nasconde dietro una applicazione lecita: Steamy Window che nella sua versione pulita, vaporizza lo schermo dell’Androide, e nella versione bacata ne vaporizza anche la sicurezza.

Anche in questo caso siamo alle solite: permessi sospetti durante l’installazione, e mentre l’utente gioca a pulire lo schermo con il ditino, il trojan imprigiona l’Androide dentro una botnet controllata da alcuni server di Comando e Controllo (C&C). Una volta infettato l’Androide Impazzito è in grado di installare applicazioni contro la volontà dell’utente, navigare verso siti web, aggiungere bookmark al browser, inviare messaggi di testo e anche, bloccare le risposte a messaggi.

Il tutto, come nelle migliori tradizioni, rigorosamente in background senza che l’utente se ne accorga minimamente. Ad un cambiamento dell’intensità del segnale il servizio si avvia e tenta di connettersi al seguente server di comando e controllo:

http://mobile.meego91.com/mm.do?.. (parametri di controllo)

Come si nota agli autori del malware non è mancato il sense of humor, visto che a controllare i dispositivi è un server che richiama meego, il (quasi) defunto sistema operativo figlio della scellerata alleanza tra Nokia e Intel.

Assieme al Check-In, il malware invia informazioni sensibili ottenute dal dispositivo, tra cui:

Alla risposta invia un messaggio con l’IMEI del dispositivo compromesso ad un numero ottenuto dall’indirizzo seguente:

http://log.meego91.com:9033/android.log?(parametri di controllo)

Anche in questo caso c’è un richiamo al povero MeeGo. Ovviamente il numero a cui viene inviato il messaggio è controllato dall’attaccante che è in grado di nascondere la sua identità.

Di tanto in tanto, inoltre, il servizio malevolo, mediante un proprio protocollo basato su XML, controlla il server di Comando e Controllo per verificare se ci sono altri comandi.

http://xml.meego91.com:8118/push/newandroidxml/...(comandi).

Anche in questo caso il problema è sempre lo stesso, una applicazione apparentemente lecita presa da un market parallelo e con permessi di installazione improbabili. Manca solo il terzo aspetto che sino ad oggi ha contraddistinto tutti i malware per il povero Androide (dopo i casi di Geinimi e HongTouTou), ovvero la Cina. Forti dubbi mi sono venuti da questa illustrazione che ho trovato sul Blog Symantec, ma poi scavando nella Rete ho scoperto che nelle stesse ore una azienda di sicurezza Cinese (guarda a caso) Netquin ha scoperto due varianti (chiamate SW.SecurePhone e SW.Qieting) presumibilmente riconducibili al malware rilevato da Symantec.

Devo ammettere che il dubbio che siano proprio le aziende d’Oriente a mettere in circolazione le infezioni per l’Androide non si è ancora completamente dissolto…

About these ads
  1. No comments yet.
  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Follow

Get every new post delivered to your Inbox.

Join 3,091 other followers