3 ottobre 2014

Molti programmi malevoli moderni che funzionano sui dispositivi mobili sono progettati per la raccolta illegale di informazioni e per lo spionaggio degli utenti. Un successivo trojan per Android scoperto di recente è stato creato proprio per questo scopo, però si distingue dalla maggior parte di programmi simili non soltanto per le sue ampie funzioni, ma anche perché attacca un determinato gruppo target che interessa i malintenzionati. Gli specialisti Doctor Web hanno studiato questo programma maligno che nella nostra classificazione ha il nome dell'Android.SpyHK.1.origin.

La nuova minaccia per Android infettava gli smartphone degli abitanti di Hong Kong che manifestavano per la democrazia. Il trojan si installa sui dispositivi mobili camuffato da un'applicazione che avrebbe l'obiettivo di coordinare le azioni degli attivisti e dunque non dovrebbe destare sospetti alla maggior parte delle vittime.

Una volta avviato, l'Android.SpyHK.1.origin stabilisce la connessione con un server remoto su cui carica una grande quantità di dati generali circa il dispositivo compromesso (per esempio versione del sistema operativo, numero di telefono, identificatore IMEI, caratteristiche dell'hardware ecc.), dopo di che aspetta ulteriori comandi da parte dei malintenzionati. Il trojan dispone di ampie funzionalità e a seconda del comando arrivato può eseguire le seguenti azioni:

• ricavare i contenuti di una directory specificata (nomi, dimensioni, date delle ultime modifiche dei file e delle cartelle);
• ricavare le coordinate GPS del dispositivo;
• scrivere un record nel file di log;
• visualizzare sullo schermo un messaggio con un testo specificato;
• effettuare una chiamata a un numero prestabilito;
• ricavare le informazioni circa il dispositivo mobile;
• eseguire uno script di shell specificato;
• ricavare una lista estesa dei contatti (compreso il nome, il numero e l'indirizzo email);
• avere l'accesso alla corrispondenza SMS;
• ricavare la cronologia delle chiamate;
• aggiungere determinati numeri di telefono all'elenco dei numeri ascoltati;
• ricavare l'elenco attuale dei numeri ascoltati;
• scaricare un file da un indirizzo web specificato;
• cancellare un file specificato dal dispositivo;
• caricare un file specificato sul server di controllo;
• attivare la registrazione vocale tra un determinato tempo;
• attivare la registrazione vocale e trasmetterla contemporaneamente su un socket del server di controllo;
• terminare la registrazione vocale;
• caricare sul server di controllo i database locali del mail client incorporato;
• ricavare la cronologia del browser;
• inviare sul server di controllo le informazioni circa i file e le cartelle conservate sulla scheda di memoria;
• eseguire alla volta più comandi di raccolta di informazioni confidenziali ed inviare le informazioni sul server.

L'Android.SpyHK.1.origin ha una serie di caratteristiche interessanti che lo distinguono dagli altri programmi-spyware. In particolare, per individuare le coordinate GPS dei dispositivi Android infetti, questo trojan sfrutta una vulnerabilità conosciuta del widget di sistema di controllo alimentazione, la quale consente di attivare alcune funzioni sul dispositivo indipendentemente dalle impostazioni generali del sistema. Benché questa vulnerabilità fosse stata riparata nel 2011, alcuni utenti hanno segnalato la sua ricomparsa nelle versioni recenti del sistema operativo. Di conseguenza, in alcuni casi, il trojan Android.SpyHK.1.origin, in teoria, può attivare il ricevitore GPS dello smartphone o del tablet compromesso anche se il proprietario del dispositivo abbia vietato tramite le relative impostazioni l'utilizzo di questa funzione.

Inoltre, il trojan consente di spiare l'utente in tempo reale trasmettendo su un socket del server di controllo la registrazione vocale attivata sul telefono. Quest'interessante soluzione tecnica è un'alternativa all'ascolto effettuato tramite una chiamata nascosta: mentre la trasmissione di dati attraverso le reti cellulari potrebbe essere impedita dalle forze dell'ordine, le reti Wi-Fi, con molta probabilità, restano disponibili, quindi i malintenzionati hanno la possibilità di ricevere le informazioni che li interessano. Visto che il trojan trasmette la maggior parte delle informazioni raccolte su un socket del server di controllo e se quest'ultimo dispone di grandi risorse del calcolo, i malintenzionati possono ricevere in tempo reale le informazioni attuali sull'ambiente in cui si trovano gli utenti, combinando i dispositivi infetti in un potente sistema di spionaggio.

Tutto ciò suggerisce un attacco ben pianificato che ha l'obiettivo di ricavare le informazioni importanti circa i manifestanti a Hong Kong e circa le loro eventuali azioni future. Non si può escludere che questo o simile programma malevolo non venga utilizzato anche in altre regioni del mondo, perciò i proprietari dei dispositivi mobili dovrebbero esercitare cautela e non dovrebbero installare applicazioni inattendibili sui loro dispositivi mobili.

La firma antivirale di questo trojan è stata aggiunta ai database dei virus, quindi l'Android.SpyHK.1.origin non rappresenta alcuna minaccia per gli utenti dell'antivirus Dr.Web per Android e di Dr.Web per Android Light.