7 novembre 2014

Gli specialisti Doctor Web hanno scoperto un nuovo trojan incorporato direttamente nell'immagine del sistema operativo di una serie di modelli di dispositivi mobili Android. L'applicazione malevola, nominata Android.Becu.1.origin, può scaricare, installare e rimuovere programmi all'insaputa dell'utente e inoltre può bloccare SMS arrivati da determinati numeri di telefono.

Questo programma malevolo è una minaccia informatica complessa, composta da diversi moduli interagenti. Il componente principale dell'Android.Becu.1.origin è il file Cube_CJIA01.apk che si trova direttamente nella directory di sistema e ha la firma digitale del sistema operativo stesso, quindi il componente ha autorizzazioni illimitate e può eseguire tutte le azioni senza l'intervento dell'utente. Poiché l'applicazione si trova direttamente nel firmware del dispositivo mobile, è difficile rimuoverla con i metodi standard.

Il trojan inizia la sua attività nociva ogni volta quando il dispositivo infetto viene acceso e quando il proprietario riceve nuovi SMS. Non appena si è verificato uno di questi eventi, l'Android.Becu.1.origin, in conformità al suo file di configurazione, scarica dal server remoto un blocco di dati cifrati che dopo la decifratura salva con il nome uac.apk nella sua directory di lavoro e avvia nella memoria operativa tramite la classe DexClassLoader. In seguito, il trojan avvia il suo secondo componente uac.dex memorizzato nella directory di lavoro. Entrambi questi moduli sono responsabili della principale funzionalità dannosa di questo malware per Android, cioè scaricano, installano e rimuovono di nascosto determinate applicazioni su comando dal server di controllo.

Dopo aver attivato questi componenti, il malware controlla la disponibilità nel sistema del suo terzo modulo, pacchetto com.zgs.ga.pack, e se è assente, lo scarica ed installa sul dispositivo. Questo modulo registra il dispositivo mobile compromesso sul server dei malintenzionati, trasferendo loro le informazioni sulle copie attive dell'Android.Becu.1.origin. Se uno od alcuni moduli del trojan verranno rimossi dall'utente, il file principale del malware li recupererà, ripetendo il processo di installazione.

Oltre alla gestione nascosta dei programmi, suo compito principale, il trojan blocca tutti gli SMS che arrivano da determinati numeri di telefono.

Al momento, gli specialisti Doctor Web sanno della presenza di questa minaccia informatica su una serie di modelli di dispositivi mobili Android dal segmento di prezzo economico, tra cui UBTEL U8, H9001, World Phone 4, X3s, M900, Star N8000, ALPS H9500 ed altri ancora. Più probabilmente, gli utenti stessi scaricano sui dispositivi i file di firmware modificati dai malintenzionati che includono il trojan Android.Becu.1.origin, oppure tali file vengono installati sugli smartphone e sui tablet dai fornitori senza scrupoli che partecipano al business criminale.

L'Android.Becu.1.origin si trova dentro il sistema operativo, dunque è difficile rimuoverlo con i metodi standard. Il modo più semplice e sicuro per combatterlo è "congelarlo" nel menu di gestione delle applicazioni. Per farlo, è necessario trovare il file principale del trojan nella lista delle applicazioni installate (pacchetto com.cube.activity) e fare clic sul pulsante "Disattiva". Come risultato, l'app malevola sarà inattiva e non potrà continuare a funzionare. In seguito, si devono rimuovere i componenti ausiliari del trojan (pacchetti com.system.outapi e com.zgs.ga.pack), che esso poteva installare in precedenza.

Un modo più radicale per combattere l'Android.Becu.1.origin è rimuovere manualmente il suo componente principale, in caso di disponibilità dei permessi di root, altrimenti si può installare un'immagine pulita del sistema operativo, però in questo caso verranno perse tutte le informazioni salvate. Entrambe queste procedure potrebbero danneggiare l'operatività del dispositivo mobile, quindi possono essere eseguite soltanto dagli utenti esperti a proprio rischio previo backup dei dati importanti.

I prodotti antivirus Dr.Web per Android e Dr.Web per Android Light rilevano questa minaccia per Android, dunque si consiglia agli utenti di questi prodotti di eseguire una scansione completa del dispositivo che potrebbe scoprire la presenza del trojan Android.Becu.1.origin e dei suoi componenti.