12 aprile 2019

Gli analisti Doctor Web hanno studiato il trojan Android.InfectionAds.1 che utilizza più vulnerabilità del sistema operativo Android. Attraverso le falle il malware infetta programmi, e inoltre può installare e rimuovere applicazioni senza la partecipazione dell'utente. Un'altra funzionalità di Android.InfectionAds.1 è quella di visualizzare annunci.

I malintenzionati incorporano il trojan in software inizialmente innocui e ne distribuiscono le copie modificate attraverso popolari directory di applicazioni Android di terze parti – per esempio, Nine Store ed Apkpure. I nostri specialisti hanno rilevato Android.InfectionAds.1 in giochi e programmi, come ad esempio HD Camera, ORG 2018_19 \Tabla Piano Guitar Robab Guitar, Euro Farming Simulator 2018 e Touch on Girls. Alcuni di essi risultano installati da almeno alcune migliaia di proprietari di smartphone e tablet. Tuttavia, il numero di applicazioni infette e di utenti colpiti può rivelarsi molto più grande.

All'avvio di un programma in cui è incorporato il trojan, quest'ultimo estrae dalle sue risorse di file moduli ausiliari, dopodiché li decripta ed esegue. Uno di essi è progettato per visualizzare annunci invadenti, mentre altri sono utilizzati per infettare applicazioni e installare automaticamente software.

Android.InfectionAds.1 sovrappone banner pubblicitari all'interfaccia del sistema e delle applicazioni in esecuzione, ostacolando il normale utilizzo dei dispositivi. Inoltre, su comando del server di gestione il trojan può modificare il codice delle piattaforme pubblicitarie popolari Admob, Facebook e Mopub utilizzate in molti programmi e giochi. Sostituisce gli identificatori pubblicitari univoci con il proprio identificatore, e di conseguenza tutti i profitti derivanti dalla visualizzazione di annunci nelle applicazioni infette vanno agli autori di virus.

Android.InfectionAds.1 sfrutta la vulnerabilità critica CVE-2017-13315 del SO Android che permette al trojan di lanciare attività di sistema. Di conseguenza, esso può installare e rimuovere programmi in automatico senza l'intervento del proprietario del dispositivo mobile. Nella creazione del trojan è stato utilizzato un codice di dimostrazione di ricercatori cinesi (PoC — Proof of Concept), il quale era stato creato per dimostrare la possibilità di sfruttamento di questo difetto di sistema.

CVE-2017-13315 appartiene alla classe di vulnerabilità che hanno ricevuto il nome generale di EvilParcel. La loro essenza sta nel fatto che una serie di componenti di sistema contiene un errore a causa del quale durante lo scambio di dati tra le applicazioni e il sistema operativo i dati possono essere alterati. Il valore finale di un frammento appositamente formato di dati trasmessi sarà diverso da quello iniziale. In questo modo, i programmi sono in grado di aggirare i controlli del sistema operativo, ottenere privilegi più elevati ed eseguire azioni precedentemente non disponibili. Al momento, sono note 7 vulnerabilità di questo tipo, ma il loro numero può aumentare con il tempo.

Utilizzando EvilParcel, Android.InfectionAds.1 installa un file apk nascosto al suo interno, contenente tutti i componenti del trojan. Inoltre, allo stesso modo, Android.InfectionAds.1 è in grado di installare i suoi aggiornamenti scaricati dal server di gestione, nonché qualsiasi altro programma, compresi quelli malevoli. Per esempio, durante l'analisi, il trojan ha scaricato dal server e ha installato il programma malevolo Android.InfectionAds.4 che è una sua variante.

Di seguito viene mostrato un esempio di come il trojan installa applicazioni senza permesso dell'utente:

Insieme ad EvilParcel, il trojan sfrutta un'altra vulnerabilità del sistema operativo Android, conosciuta come Janus (CVE-2017-13156). Utilizzando questo difetto di sistema, infetta le applicazioni già installate incorporando in esse una sua copia. Android.InfectionAds.1 si connette al server di gestione e ottiene da esso una lista di programmi da infettare. Se non è riuscito a connettersi al centro remoto, infetta le applicazioni specificate nelle sue impostazioni iniziali. A seconda della versione del trojan, questa lista può contenere una varietà di elementi. Ecco un esempio di tale lista in una delle versioni di Android.InfectionAds.1 esaminate:

• com.whatsapp (WhatsApp Messenger);
• com.lenovo.anyshare.gps (SHAREit - Transfer & Share);
• com.mxtech.videoplayer.ad (MX Player);
• com.jio.jioplay.tv (JioTV - Live TV & Catch-Up);
• com.jio.media.jiobeats (JioSaavn Music & Radio – including JioMusic);
• com.jiochat.jiochatapp (JioChat: HD Video Call);
• com.jio.join (Jio4GVoice);
• com.good.gamecollection;
• com.opera.mini.native (Opera Mini - fast web browser);
• in.startv.hotstar (Hotstar);
• com.meitu.beautyplusme (PlusMe Camera - Previously BeautyPlus Me);
• com.domobile.applock (AppLock);
• com.touchtype.swiftkey (SwiftKey Keyboard);
• com.flipkart.android (Flipkart Online Shopping App);
• cn.xender (Share Music & Transfer Files – Xender);
• com.eterno (Dailyhunt (Newshunt) - Latest News, LIVE Cricket);
• com.truecaller (Truecaller: Caller ID, spam blocking & call record);
• com.ludo.king (Ludo King™).

Infettando programmi, il trojan aggiunge i suoi componenti alla struttura dei file apk senza modificarne la firma digitale. Quindi installa le versioni modificate delle applicazioni invece degli originali. In quanto la firma digitale dei file infetti rimane la stessa a causa della vulnerabilità, i programmi vengono installati come aggiornamenti di sé stessi. L'installazione anche viene eseguita con l'utilizzo della vulnerabilità EvilParcel senza la partecipazione dell'utente. Di conseguenza, i programmi attaccati continuano a funzionare normalmente, ma contengono in sé una copia di Android.InfectionAds.1 la quale opera impercettibilmente insieme ad essi. Quando le applicazioni vengono infettate, il trojan ha accesso a tutti i loro dati. Per esempio, infettando WhatsApp, ha accesso ai messaggi dell'utente, e infettando un browser ― ai login e le password salvati in esso.

L'unico modo per sbarazzarsi del trojan e ripristinare la sicurezza dei programmi infetti è quello di rimuovere le applicazioni che lo contengono ed installare nuovamente le loro copie pulite da fonti affidabili come Google Play. Nella versione aggiornata di Dr.Web Security Space per Android è comparsa la possibilità di rilevamento della vulnerabilità di classe EvilParcel. Questa funzionalità è disponibile in Auditor di sicurezza. È possibile scaricare il nuovo pacchetto di distribuzione dal sito ufficiale di Doctor Web, nel prossimo futuro sarà disponibile anche su Google Play.

Tutti i prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo le versioni conosciute di Android.InfectionAds.1, pertanto il trojan non rappresenta alcun pericolo per i nostri utenti.

[Informazioni su Android.InfectionAds.1]

[Informazioni su EvilParcel]

[Informazioni su Janus]

#Android #trojan #software_malevolo