26 dicembre 2012

Doctor Web — azienda russa della sicurezza informatica — informa che è comparso un nuovo malware per Android. Si chiama Android.DDoS.1.origin ed è in grado di eseguire attacchi DDoD a diversi siti web. Un’altra capacità del programma è l’invio di SMS secondo un comando dei malintenzionati.

Una volta installato su un dispositivo mobile Android, il trojan Android.DDoS.1.origin crea un’icona di applicazione simile all’icona di Google Play. Se l’utente ingannato decide di avviare la falsa icona, si apre l’applicazione originale il che riduce il rischio di suscitare sospetti.

Dopo l’avvio, il trojan cerca di connettersi al server remoto e, se riuscito, ci trasmette il numero telefonico della vittima. Fatto questo, il trojan aspetta ulteriori comandi che i malintenzionati inviano tramite SMS. Fra gli altri, i malintenzionati possono dare il comando di attaccare un server e anche il comando di spedire SMS dal dispositivo compromesso. Se il trojan deve eseguire un attacco a un sito web, l’SMS mandato dai cybercriminali contiene un parametro del tipo [server:porta]. Ricevuto tale comando, Android.DDoS.1.origin comincia a inviare pacchetti di rete all’indirizzo assegnato. Se il trojan deve inviare SMS, il comando dei malintenzionati contiene un testo e un numero telefonico. Le attività del trojan potrebbero rallentare le prestazioni del dispositivo Android compromesso e anche causare un danno al proprietario addebitando il suo conto di telefonia per la connessione a Internet e per l’invio di SMS. Il programma potrebbe inviare SMS a numeri premium, e in tale caso il proprietario del telefonino perderebbe anche più soldi.

Come si propaga il trojan non è ancora stato chiarito, però il metodo più probabile sarebbe il social engineering che sfrutta le apparenze di Google Play.

Va notato che il codice del trojan Android.DDoS.1.origin è molto offuscato. Inoltre, considerando le funzioni del programma (le possibilità di eseguire attacchi e di inviare SMS a qualsiasi numero, anche ai numeri di fornitori di contenuti), si può supporre che questo malware possa essere utilizzato dai suoi autori non solo ai loro fini, ma anche per conto terzi. I malintenzionati potrebbero eseguire per conto terzi tali azioni illecite, quali attaccare un sito appartenente ai concorrenti, promuovere prodotti per SMS o abbonare utenti a servizi a pagamento tramite l’invio di SMS a numeri brevi.

Il team di Doctor Web continua a studiare Android.DDoS.1.origin. Intanto gli utenti degli antivirus Dr.Web sono protetti da questa minaccia in modo sicuro.