17 febbraio 2014

I casi in cui alcuni programmi malevoli sono inclusi in diversi firmware per il SO Android sono ben noti agli specialisti della sicurezza informatica, ma non sempre agli utenti comuni. La disinfezione di un dispositivo mobile con un firmware compromesso è una faccenda complicata e potrebbe comportare la revoca della garanzia, la perdita di dati importanti e il guasto del dispositivo. Doctor Web vi ricorda che potreste incorrere in tale problema quando installate sui dispositivi un'immagine del SO di terzi che potrebbe contenere un programma malevolo e quando acquistate dispositivi nuovi su cui sono installate delle applicazioni indesiderate. Alcuni nostri utenti hanno dovuto affrontare quest'ultimo caso.

Abbiamo scoperto che in un firmware per Android è incorporato un programma malevolo che abbiamo chiamato Android.SmsSend.1081.origin. L'applicazione è un lettore audio che però ha una funzione nascosta che invia le informazioni sull'identificatore IMSI a un numero telefonico prestabilito. Secondo l'idea dei creatori del programma, questa funzione è necessaria per registrare l'utente in un servizio di musica online che si trova in China. Questa possibilità potrebbe essere apprezzata dagli utenti cinesi, ma è poco utile per gli utenti in altri paesi, e il programma non controlla in nessun modo la posizione geografica del dispositivo su cui è installato. Il difetto principale è che il programma invia un sms ogni volta quando l'utente avvia il lettore audio. Per esempio, il costo di un tale sms in Russia è da cinque a sei rubli (circa 0.15 centesimi). Dunque, la funzione pensata come utile è diventata indesiderata e per questo motivo abbiamo inserito questo programma nei nostri database dei virus.

Dobbiamo notare che attualmente sono pochi i casi in cui alcuni programmi malevoli sono stati inclusi in immagini di un sistema operativo. A gennaio Doctor Web ha già comunicato di un programma di questo tipo che ha infettato migliaia di dispositivi mobili. È il trojan Android.Oldboot.1 che è nascosto dentro il file system e reinfetta il dispositivo ad ogni accensione. Lo scopo principale del trojan è l'installazione e la rimozione di diverse applicazioni. Inoltre, di recente il database Dr.Web è stato completato con un malware che invia a un numero prestabilito un sms con l'identificatore IMEI del dispositivo. Il malware, nominato Android.SmsSend.1067.origin, è una versione alterata di un normale pacchetto di sistema utilizzato per l'invio di sms.

I programmi malevoli incorporati nel sistema operativo non possono essere disinstallati nel modo standard. Per rimuoverli, sono necessari i permessi di root per accedere alle funzioni del sistema operativo e ai file system. Altrimenti, si può reinstallare una versione pulita del sistema operativo. In entrambi i casi, l'utente rischia di perdere la garanzia di produttore o i suoi dati importanti e persino potrebbe rovinare il dispositivo.

Per evitare tali conseguenze negative, non installate firmware non attendibili e non acquistate smartphone di dubbia provenienza. Se avete già un programma malevolo nascosto dentro il sistema operativo sul vostro smartphone, fate le seguenti azioni.

• Controllate se il firmware in uso è originale, cioè fornito dal produttore del dispositivo mobile. A questo fine mettetevi in contatto con il servizio di assistenza clienti dell'azienda-produttrice del dispositivo. Se avete scoperto che il firmware non è originale, è consigliabile reinstallare un'immagine del sistema operativo di fabbrica seguendo le istruzioni del fornitore dell'apparecchiatura.
• Se avete installato un firmware di terzi che ha dentro un trojan, è consigliabile ritornare al firmware di fabbrica.
• Se usate un firmware di fabbrica che però contiene un programma malevolo, contattate l'azienda-produttrice per chiarire la situazione.
• Se avete le esperienze e le conoscenze sufficienti, potete provare a rimuovere il programma malevolo avvalendovi dei permessi di root. Attenzione però: queste azioni sono rischiose e possono portare anche alla revoca della garanzia o alla rottura del dispositivo.
• Potete provare a disattivare del tutto o in parte il programma malevolo incluso nel firmware. A questo fine entrate nel menu di sistema di gestione applicazioni e selezionate l'opzione "Disattiva" per il programma corrispondente.