About these ads

Archive

Posts Tagged ‘DroidDream’

Sometimes They Come Back

June 6, 2011 1 comment

Not even a week after the light version of DroidDream, a new nightmare rises from the Android Market to menace the dreams of glory of the Google Mobile OS (which has just confirmed his #1 Rank on the comScore April 2011 U.S. Mobile Subscriber Market Share Report).

Curiously, also the new malware, discovered by F-Secure, and dubbed Android/DroidKungFu.A, “has its roots” on DroidDream since it uses the same exploit, rageagainstthecage, to gain root privilege and install the main malware component.

Once installed, the malware has backdoor capabilities and is able to: execute command to delete a supplied file, execute a command to open a supplied homepage, download and install a supplied APK, open a supplied URL, run or start a supplied application package.

Of course, who is familiar with Android malware may easily imagine the next step of the infection: the malware is in fact capable to obtain some information concerning the device and send them to a remote server: The collected information include: IMEI number, Build version release, SDK version, users’ mobile number, Phone model, Network Operator, Type of Net Connectivity, SD card available memory, Phone available memory.

In few words, the device is turned into a member of a botnet (without realizing it we are closer and closer to Phase 4 of Mobile Malware, consult slide 9 of my presentation for the different phases of Mobile Malware).

Guess where the malware was detected first? Of course from some parallel Markets in China, at least according to some Researchers of the North Carolina University who detected two infected applications in more than eight third-party Android app stores and forums based in China. Nothing new under this sun of June. Luckily the researchers haven’t found infected apps in non-Chinese app stores… At least so far.

As previously stated DroidKungFu takes advantages of the same vulnerabilities than DroidDream, but this time the situation seems to be much worse. As a matter of fact it looks like DroidKungFu is capable of avoiding detection by security software.

The malware makes its best with Android 2.2 and earlier, but the owners of later versions of Android are not entirely safe: the security patches severely limit DroidKungFu, but the malware is still able to collect some user data and send them to a remote site.

Again, follow basic, common-sense guidelines for smartphone security in order to mitigate the risks of infection (here you may find some useful suggestions), even because Google Wallet is at the gates and I dare not even think to the aftermaths of a malware leveraging vulnerabilities on the Secure Element

About these ads

DroidDream is Back!

May 31, 2011 1 comment

There is a new nightmare on the Android Market, and again many Android devices are not going to have a good awakening.

The last security advice for the Google Mobile OS comes from Lookout, which has discovered a new variant of the infamous DroidDream, the first malware conveyed by the Official Android Market capable of infecting at the beginning  of March, according to Symantec, between 50.000 and 200.000 devices.

This time the brand new version, dubbed DroidDreamLight, was found in 26 repackaged applications from 5 different developers distributed in the Android Market. According to Lookout DroidDreamLight is no less than is “noble” predecessor, since was able to affect between 30.000 and 120.000 users.

According to Lookout, the malicious components of DroidDream Light are invoked on receipt of an android.intent.action.PHONE_STATE intent (e.g. an incoming voice call). As a consequence DroidDream Light does not depend on manual launch of the installed application to trigger its behavior.  The broadcast receiver immediately launches the <package>.lightdd.CoreService which contacts remote servers and supplies the IMEI, IMSI, Model, SDK Version and information about installed packages. It appears that the DDLight is also capable of downloading and prompting installation of new packages, though unlike its predecessors it is not capable of doing so without user intervention.

The list of the infected applications (already removed from Google) is available at the original link. I must confess I could not help noticing the rich amount of “hot” applications, which confirm (unfortunately) to be a lethal weapon for carrying malware.

This event will raise again the concerns about the security policies on the Android Market, and about the apparently unstoppable evolution of the mobile threat landscape which has brought for the Android a brand new malware capable of sending data to a remote server. A further step closer to a mobile botnet even if, at least for this time, with limited capabilities of auto-installing packages,.

I will have to update my presentation, meanwhile do not forget to follow the guidelines for a correct mobile behavior:

  • Avoid “promiscuous” behaviours (perform rooting, sideloading or jaibreaking with caution, most of all in case of a device used for professional purpose);
  • Do not accept virtual candies from unkown virtual individuals, i.e. only install applications from trusted sources, always check the origin and their permissions during installation;
  • Beware of unusual behavior of the phone (DroidDream owes its name to the fact that he used to perform most of its malicious action from 11 P.M to 8 A.M.);
  • Beware of risks hidden behind social Network (see my post of yesterday on mobile phishing);
  • Use security software;
  • Keep the device updated.

Relazione Tavola Rotonda Mobile Security

Ho pubblicato su Slideshare la relazione da me redatta della Tavola Rotonda “Mobile Security: Rischi, Tecnologie, Mercato” tenutasi il 14 marzo a Milano all’interno del Security Summit 2011.

La relazione, che ho inserito all’interno di un thread del gruppo Linkedin Italian Security Professional, è visibile al link sottostante. Ancora un grazie al gruppo che ha ospitato questo interessantissimo appuntamento!

L’Androide Minacciato Alla Radice

Questa mattina, il buongiorno non ce lo porta l’aroma di caffè e un bel croissant al burro, ma l’ennesima nota di Lookout che segnala l’ennesimo malware per il mai troppo cagionevole Androide. La minaccia viene ancora dall’Estremo Oriente, ed in particolare dalla Cina che si conferma terra ostica per la salute virtuale del Sistema Operativo di Mountain View (mi verrebbe da dire che l’Androide è proprio sensibile alla Cinese).

I sintomi usuali ci sono tutti: il Market Parallelo ed un eseguibile chiamato zHash, che ricalca l’orma del predecessore DroidDream, in grado di rootare (non è una parolaccia ma un improbabile improvvisato neologismo a cui dovremo purtroppo abituarci) il dispositivo mediante il medesimo exploit exploid.

Naturalmente, per non farsi mancare niente, è stata registrata una versione della stessa applicazione anche nel Market Ufficiale, con lo stesso nome, contenente quindi lo stesso exploit, ma priva del codice necessario per invocarlo. Magra consolazione in quanto è sempre meglio non avere il nemico in casa anche se dormiente.

Ad ogni modo l’applicazione, che sembra abbia avuto 5000 download, è stata già rimossa da Google che ha esercitato ancora una volta (sta diventando un’abitudine troppo frequente) la possibilità di disinstallare l’applicazione da remoto (ovviamente la rimozione “coatta” è stata attuata solo per le versioni scaricate dal market ufficiale).

Per inciso la pericolosità del malware sembra relativamente bassa. Ovviamente una volta che il terminale è stato compromesso illecitamente (all’insaputa dell’utente), potrebbe poi essere vittima di altre applicazioni malevole facenti leva sui permessi di root indebitamente acquisiti.

Per ora nessuna altra informazione, rimangono comunque valide le, mai troppo citate, usuali raccomandazioni:

  • Evitare, a meno che non sia strettamente necessario, di abilitare l’opzione di installazione delle applicazioni da Sorgenti Sconosciute (pratica definita anche “sideloading”).
  • Fare attenzione in generale a ciò che si scarica e comunque installare esclusivamente applicazioni da sorgenti fidate (ad esempio l’Android Market ufficiale, le cui applicazioni non sono infette). Buona abitudine è anche quella di verificare il nome dello sviluppatore, le recensioni e i voti degli utenti;
  • Controllare sempre i permessi delle applicazioni durante l’installazione. Naturalmente il buon senso corrisponde al migliore anti-malware per verificare se i permessi sono adeguati allo scopo dell’applicazione;
  • Fare attenzione ai sintomi comportamenti inusuali del telefono (ad esempio strani SMS o una sospetta attività di rete) che potrebbero essere indicatori di una possibile infezione;
  • A questo punto, aimé (e torniamo al tema da poco discusso relativo al costo della sicurezza, valutare una applicazione anti-malware tra le molteplici offertae, destinata oramai a diventare un inseparabile companion.

DroidDream: Dopo Il Danno La Beffa

D’accordo, è tardi, sono stanco e domani devo lavorare ma, ancora una volta, non ho resistito alla tentazione di segnalare l’ennesima beffa, in termini di sicurezza, ai danni del povero Androide.

Questa volta è una copia dell”Android Market Security Tool“, che Google ha sviluppato per rimuovere l’effetto del malware DroidDream dai terminali infetti. Ebbene, dagli immancabili Market Cinesi paralleli (oramai i cinesi hanno imparato a taroccare anche il software oltre che i beni di consumo) è spuntata la versione fake dello strumento di sicurezza.

Il malware, segnalato da Symantec e battezzato Android.Bgserv (Troj/Bgserv-A da Sophos), ha tutte le caratteristiche delle infezioni sino ad ora incontrate per il povero androide: durante l’installazione mostra permessi improbabili e durante l’azione viene controllato da un server remoto:

http://www.youlubg.com:81/Coop/request3.php

ed invia SMS senza controllo a scapito della bolletta del povero malcapitato.

Certo è che la possibilità di installare software non certificato sarà anche un vantaggio per la diffusione dei terminali, ma da un punto di vista della sicurezza si sta veramente rivelando un boomerang (la cui traiettoria probabilmente è stata abilmente calcolata da Google).

Do Androids Dream Of Electric Sheep?

March 7, 2011 1 comment

Purtroppo no. In questo momento sembra infatti che i sogni degli androidi siano più turbati dal malware che dalle pecore elettriche. Naturalmente i più abili avranno già indovinato il filo conduttore che unisce il titolo di questo post ad un notissimo film di fantascienza e alla sicurezza mobile: nelle ore in cui Google ritirava dal proprio Market le applicazioni infette dal Malware DroidDream, la Alcon Entertainment dichiarava di essere in trattativa per l’acquisto dei diritti di Blade Runner al fine di realizzarne un prequel. Per fortuna possiamo stare tranquilli perchè non verranno utilizzati per un remake (o reboot come si dice ora tra i più modaioli), ma per un prequel (e un sequel) sulla falsa riga di quanto Ridley Scott, visionario regista del film originale, sta realizzando per Alien, altro suo gioiello fantascientifico.

Perché comincio il post con questo titolo (che è il titolo del romanzo originale di Philip K. Dick, uscito in Italia con il titolo di Il Cacciatore di Androidi, da cui è stato tratto Blade Runner)? Perché l’aspetto divertente del malware DroidDream risede proprio nel fatto che l’applicazione malevola è attiva dalle 11 di sera alle 8 di mattina, proprio nel momento in cui l’Androide, presumibilmente appoggiato nel comodino, dovrebbe dormire e sognare le pecore elettriche, e con lui il proprio utente che in questo modo non si accorge dei comportamenti anomali del malware, la cui eco non si è ancora spenta, fondamentalmente per tre motivi:

  • In primo luogo, questione su cui si continuerà a dibattere a lungo, il malware è stato veicolato dal market ufficiale, e questo aspetto ha risollevato le perplessità, mai sopite, relative alle politiche adottate da Google per l’inserimento delle applicazioni all’interno del market. Ormai è chiaro che il modello è perfettibile, e da più parti ormai si invoca a gran voce un nuovo modello che innalzi la sicurezza e i controlli, magari rendendo gli sviluppatori rintracciabili mediante una azione combinata di autenticazione forte (ad esempio con certificati) e soglia economica di accesso più elevata.(attualmente a 25 $);
  • In secondo luogo la pericolosità del malware non risiede tanto nella possibilità di inviare informazioni ad un server remoto di comando e controllo (tutto sommato la quantità e qualità delle informazioni è piuttosto modesta), quanto nella capacità di installare software malevolo a piacimento nel dispositivo infetto; e questa funzione sicuramente potrebbe essere utilizzata (monetizzata) dall’autore per scopi ben più gravi (e con impatti ben più seri per l’utente);
  • Infine, ha sollevato qualche perplessità anche il modello di pulizia remota adottato da Google (ma di questo ho già parlato). Mi limiterò ada aggiungere, come ha detto qualcuno, pensate se Microsoft cominciasse a disinstallare le applicazioni da remoto in caso di problemi di sicurezza…

A mio avviso l’aspetto più preoccupante dell’intera vicenda risiede nel fatto che gli Androidi si stanno diffondendo pesantemente in ambito enterprise. Se da un lato gli eventi di sicurezza degli ultimi due mesi ne sono la conseguenza (se si innalza il livello dell’utilizzatore, indirettamente si innalza anche il valore dei dati e le possibilità di lucrarci sopra), dall’altro è necessario rivedere il modello affinché la sicurezza sia demandata il minimo indispensabile all’utilizzatore: finché si suggerisce di non rootare il dispositivo o di non installare applicazioni che non provengano dal market ufficiale, è un conto. Ma nel momento in cui si chiede di controllare qualsiasi cosa, anche nel caso in cui essa provenga da sorgenti certe, allora la questione si fa veramente più delicata.

Il mio sesto senso e mezzo mi dice che sentiremo ancora parlare di problemi di sicurezza per l’Androide anche se in realtà sino ad ora, gli scivoloni di sicurezza sembrano non turbare in alcun modo i sogni (questa volta di gloria) dell’Androide che si conferma. secondo le ultime rilevazioni di ComScore, il re del mercato d’oltreoceano.

Secondo le ultime rilevazioni difatti, l’OS mobile di Google ha scalzato RIM dal trono del sistema operativo più diffuso: su 65.8 milioni di utenti statunitensi di smartphone durante il trimestre da novembre 2010 a gennaio 2011, (+8% rispetto al trimestre precedente), all’Androide è andato il 31.2% del mercato, ai danni di RIM scesa al secondo posto con il 30.4  % (in calo del 5% rispetto al trimestre precedente) e di Apple, sostanzialmente stabile con il 24.7%). A Microsoft un misero 8% (speriamo che il miliardo di dollaroni, che, si dice, Microsoft abbia versato a Nokia all’interno dell’affare del secolo sia stato ben speso). Chiude la classifica dei magnifici 5 Palm, ridotta ormai al lumicino con un misero 3.2%, in attesa dei frutti derivanti dall’acquisizione di HP.

Top Mobile OEMs: 3 Month Avg. Ending Jan. 2011 vs. 3 Month Avg. Ending Oct. 2010
Total U.S. Mobile Subscribers Ages 13+
Source: comScore MobiLens
Share (%) of Mobile Subscribers
Oct-10 Jan-11 Point Change
Total Mobile Subscribers 100.0% 100.0% N/A
Samsung 24.2% 24.9% 0.7
LG 21.0% 20.8% -0.2
Motorola 17.7% 16.5% -1.2
RIM 9.3% 8.6% -0.7
Apple 6.4% 7.0% 0.6

L’Androide non si ferma anche se il peso della frammentazione dei produttori (con conseguente necessità di garantire compatibilità e stabilità su una vasta gamma di piattaforme), comincia a farsi sentire (anche in termini di sicurezza). Speriamo che da questo punto di vista l’Androide non venga contaggiato da un altro temibile virus: la sindrome di Redmond.

DroidDream: Google lo Sradica da Remoto

March 6, 2011 1 comment

Qualche giorno fa ho dedicato un post all’ultimo malware (è proprio il caso di dire da sogno) dell’Androide: il famigerato DroidDream. L’ennesima minaccia mobile per l’androide ha creato un pericoloso precedente, essendo il primo malware, a differenza dai suoi illustri predecessori (Geinimi, HongTouTou e ), ad aver fatto breccia direttamente nel market ufficiale.

Da subito si è saputo che il “Sogno d’Androide”, utilizzando l’invontolontario tramite di applicazioni lecite, è stato in grado di iniettare nei terminali infetti codice malevolo in grado di prendere la root (o meglio la radice) del dispositivo (da cui il nome di Android.Rootcager) in maniera autonoma (ovviamente senza il minimo consenso da parte dell’utente).

Ora cominciano a trapelare notizie un po’ più precise sul malware (che ne riducono in parte la pericolosità, poiché sembra che l’applicazione malevola “si limiti” a trasmettere al server remoto i soli IMEI, IMSI, modello del dispositivo e versione del SDK),  tuttavia, proprio in queste ore Google ha reso nota la propria strategia per (è proprio il caso di dire) sradicare il malware e risolvere il problema alla root radice. Il gigante di Mountain View ha deciso di premere il grilletto ed azionare, per la seconda volta nella sua storia, l’operazione di pulizia remota degli Androidi Malati. La prima volta era accaduta a giugno 2010, quando il colosso di Mountain View si rese conto che due ricercatori avevano iniettato, a scopo dimostrativo, una falsa applicazione nel Market (uno sniffer che poteva essere usato con conseguenze ben più serie).

Ovviamente questo modus operandi ha nuovamente sollevato l’annoso interrogativo se certe pratiche siano attuabili o ledano in maniera eccessiva la libertà e la privacy dell’utente. In teoria la pulizia remota rappresenta un valido strumento di sicurezza, in pratica riapre l’annosa questione della privacy e se sia lecito che un produttore, anche se animato da buone intenzioni, si spinga un po’ troppo oltre la linea rossa che separa la proprietà del terminale da parte di chi ci ha speso, nel migliore dei casi, 500 Euri). La questione è tanto più spinosa quanto più si considera il fatto che certe mosse risolutiive (a mali estremi estremi rimedi) sono causate da una filiera di controlli nel market non rigorosa come quella di Cupertino (e verrebbe da dire anche da un OS non proprio in forma smagliante in questo periodo).

D’altronde i Termini di Servizio dell’Android Market parlano (poco) chiaro. L’articolo 2.4 dei sopra citati termini di servizio recita infatti:

Google può venire a conoscenza che un Prodotto viola i termini del Contratto di Distribuzione con gli Sviluppatori per Android Market o le leggi applicabili e/o le regole di Google. In tal caso, Google potrà disabilitare l’accesso a tali Prodotti a propria discrezione e senza preavviso.

A questo punto i possessori di Android (tra cui il sottoscritto) si sentiranno un po’ tra l’incudine e il martello: effettivamente non so se è preferibile la consapevolezza che il proprio sistema operativo del cuore ultimamente venga preso un po’ troppo di mira dai Cybercriminali (oggi per gioco, ma domani?),  oppure il fatto che, in caso di contagio da malware, si può sempre sperare che il Grande Fratello effettui un accesso remoto al nostro terminale, rigorosamente non richiesto, per ristabilire l’ordine delle applicazioni.

Si dirà che queste cose capitano anche ai possessori della Mela (con tanto di minacce di class action). Corretto, ma almeno in questo momento il cuore di Mela, dati di malware alla mano, è certamente più sicuro.

Non resta che installare droidwall, magari bloccando tutte le connessioni in ingresso e uscita… Bene ora lo vado a vedere al market… Aspetta, che cos’è la prima cosa che c’e’ scritta…”ATTENTION: ROOT REQUIRED!!!”

Follow

Get every new post delivered to your Inbox.

Join 2,996 other followers