Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Falla di Android scoperta di recente facilita la propagazione di un malware

31 luglio 2013

Doctor Web — produttore russo di programmi per la sicurezza informatica — ha scoperto la prima applicazione malevola che si diffonde sfruttando una falla del SO Android conosciuta da poco tempo, nominata Master Key. Il malware Android.Nimefas.1.origin è in grado di mandare SMS dal cellulare compromesso, di trasferire informazioni private ai malintenzionati e anche consente di eseguire sul dispositivo una serie di comandi impartiti su remoto. Adesso il trojan si nasconde in numerosi giochi e programmi per Android scaricabili da un sito di applicazioni cinese. Tuttavia, non possiamo escludere che presto sbucheranno altri programmi ideati per sfruttare la vulnerabilità Master Key e che la minaccia sarà presente anche in altri paesi.

Dal momento in cui sono state divulgate le informazioni sulla vulnerabilità Master Key, gli specialisti della sicurezza informatica hanno supposto che i malintenzionati si sarebbero avvalsi della falla dato che dal punto di vista tecnico questo errore di programma è facilmente sfruttabile. Meno di un mese dopo la divulgazione delle informazioni su questa falla, è comparsa, infatti, un'applicazione malevola che la sfrutta.

Il trojan scoperto da Doctor Web è stato classificato come Android.Nimefas.1.origin. Si propaga in applicazioni per Android, in un file dex modificato dai malintenzionati che si trova accanto al file dex originario di un programma. Vi ricordiamo che la vulnerabilità Master Key consiste nella particolarità del SO Android nel controllo delle applicazioni da installare. Se, infatti, un pacchetto apk contiene due file con un nome uguale memorizzati in una sottocartella, il sistema operativo Android verifica la firma digitale del primo file, ma installa il secondo file senza averlo controllato. Così viene aggirato il meccanismo protettivo di Android ideato per evitare l'installazione di applicazioni modificate da terzi.

L'illustrazione sottostante mostra un esempio del programma modificato dal trojan Android.Nimefas.1.origin:

screen

Una volta avviato sul dispositivo mobile, il trojan controlla se è attivo almeno un servizio delle applicazioni antivirali cinesi.

Se ne ha trovato almeno uno, Android.Nimefas.1.origin controlla la disponibilità dell'accesso root cercando i file "/system/xbin/su" o "/system/bin/su". Se vi sono tali file, il trojan interrompe il suo funzionamento. Se nessuna delle condizioni viene soddisfatta, il malware continua le sue attività dannose.

In particolare, Android.Nimefas.1.origin invia l'identificatore IMSI a un numero selezionato in modo arbitrario da una lista predisposta.

Successivamente, il trojan invia SMS a tutti i contatti memorizzati nella rubrica del telefonino infetto. Scarica il testo dei messaggi da un server remoto, e carica sullo stesso nodo le informazioni dei contatti utilizzati per l'invio di SMS. Il trojan è in grado di inviare qualsiasi messaggio a diversi numeri telefonici. Le informazioni necessarie per tale attività (il testo da mandare e i numeri telefonici) si trovano sul server di comando.

Inoltre, il trojan può nascondere dall'utente messaggi in arrivo. Il filtro dei numeri o del testo da applicare ai messaggi viene scaricato dal server dei malintenzionati.

Per il momento, è già stato interrotto il funzionamento del server di comando utilizzato dai malintenzionati per amministrare il programma malevolo.

screen

Adesso il trojan Android.Nimefas.1.origin rappresenta il pericolo più grande per gli utenti cinesi poiché si propaga in giochi e applicazioni scaricabili da uno dei cataloghi di applicazioni cinesi. Gli amministratori di questa risorsa sono stati avvisati del problema. Ciononostante, non possiamo escludere che presto aumenterà il numero di programmi che sfruttano la falla Master Key e che di conseguenza diventerà più vasta la geografia di propagazione della minaccia. Fino a quando i produttori dei dispositivi Android non metteranno a disposizione un aggiornamento di sicurezza che copra la lacuna, molti utenti corrono il rischio di essere danneggiati dalle attività di simili applicazioni malevole. Siccome molti dispositivi disponibili già sul mercato già non sono supportati dai produttori, si teme che gli utenti di tali dispositivi rimarranno senza alcuna protezione.

Tutti gli utenti dei prodotti antivirali Dr.Web per Android sono protetti dal malware Android.Nimefas.1.origin. Il trojan viene rilevato dal metodo Origins Tracing™. Inoltre, il file apk contenente questo malware viene rilevato dall'antivirus Dr.Web che lo riconosce come Exploit.APKDuplicateName.

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web
Esperienza di sviluppo dal 1992
Dr.Web viene utilizzato in 200+ paesi del mondo
L'antivirus viene fornito come un servizio dal 2007
Supporto ventiquattro ore su ventiquattro

Dr.Web © Doctor Web
2003 — 2020

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125124, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A