18 marzo 2015

Gli specialisti Doctor Web hanno studiato un nuovo trojan multifunzione che infetta dispositivi mobili Android. Su comando dei malintenzionati, l'applicazione malevola può ricavare varie informazioni confidenziali, inviare sms, effettuare chiamate e anche eseguire altre azioni pericolose.

Il nuovo programma malevolo per SO Android, denominato Android.Titan.1, è progettato per l'attacco contro gli utenti sudcoreani e viene distribuito dai criminali informatici tramite lo spamming via sms. Gli sms inviati dai truffatori avvisano di un'inesistente spedizione postale che sarebbe in ritardo e riportano un collegamento ipertestuale da utilizzare per “aggiornarsi sull'argomento”. In realtà, il link conduce a una pagina di un noto servizio di data storage basato su cloud, dove gli scrittori dei virus hanno collocato il trojan Android.Titan.1. Se le potenziali vittime provano ad aprire la pagina, cercando le informazioni di cui si tratta nel messaggio, sui loro dispositivi mobili viene scaricato automaticamente il file apk dell'applicazione malevola. Tuttavia, il trojan può infettare il sistema operativo solo se gli utenti incauti lo installano.

Una volta installato con successo, l'Android.Titan.1 mette la sua icona sulla schermata principale del dispositivo mobile e aspetta fino a quando il proprietario del telefono compromesso non lo avvierà. Dopo l'avvio, il programma malevolo rimuove la sua icona e continua a funzionare in modalità silenziosa. Allo stesso tempo, dalla memoria del dispositivo viene cancellato l'ultimo dialogo SMS che nella maggior parte dei casi sarà proprio quel messaggio mediante cui il trojan è arrivato sullo smartphone Android. In seguito il trojan Android.Titan.1 funziona senza la partecipazione dell'utente e si avvia automaticamente dopo il caricamento del sistema operativo.

Il trojan Android.Titan.1 svolge le sue funzioni utilizzano alcuni servizi di sistema malevoli da esso eseguiti. In particolare, uno dei servizi controlla se l'Android.Titan.1 sia il gestore dei messaggi di default, e, se non è così, cerca di modificare le relative impostazioni di sistema.

Il trojan aspetta fino a quando non sarà disponibile una connessione a Internet, dopodiché si collega al server di controllo e ci carica le informazioni dettagliate circa il dispositivo mobile compromesso, compreso il nome del modello, informazioni su versione del sistema operativo installato, su connessione di rete, l'indirizzo MAC del dispositivo, gli identificatori IMEI e IMSI, così come il numero di telefono della vittima.

Dal server il programma malevolo può ricevere uno dei seguenti comandi:

• avvia un servizio che cerca e termina tutti i processi specifici dell'applicazione com.kakao.talk;
• avvia un servizio che sostituisce i numeri telefonici nella rubrica del dispositivo mobile;
• modifica le impostazioni della suoneria nel dispositivo (silenzioso, vibrazione o normale) e il volume del segnale di chiamata;
• avvia un servizio studiato per inviare sms con i parametri definiti nel comando;
• avvia un servizio studiato per effettuare chiamate a un numero impostato (durante una chiamata, lo schermo del dispositivo si blocca ugualmente alla modalità di attesa);
• invia sul server le informazioni circa i contatti memorizzati nella rubrica (nomi e numeri telefonici rispettivi);
• avvia un servizio studiato per visualizzare nella barra delle notifiche un determinato messaggio e l'immagine che l'accompagna.

Siccome il trojan Android.Titan.1 può effettuare chiamate di nascosto e monitorare periodicamente l'attività dello schermo del dispositivo infetto, i malintenzionati possono impartire il comando di effettuazione di chiamata quando lo smartphone o tablet infetto è stato per lungo tempo in modalità di attesa. Subito dopo l'inizio della chiamata, lo schermo viene nuovamente bloccato, quindi l'utente non dovrebbe accorgersi che il suo telefono viene utilizzato a sua insaputa.

Android.Titan.1 è capace di monitorare gli sms in arrivo e di nascondere quelli che soddisfano i criteri impostati dagli scrittori dei virus. Allo stesso tempo, il trojan trasmette sul server di controllo le informazioni dettagliate circa tutti gli sms ricevuti, compreso le informazioni su mittente, data e ora di invio e contenuti. Se la trasmissione delle informazioni non è possibile, il programma malevolo le registra in un apposito database conservato localmente sul dispositivo, dopodiché aspetta una connessione alla rete per caricare sul server le informazioni in coda.

Inoltre, Android.Titan.1 ha un'altra funzione pericolosa. Ogni minuto controlla se l'utente faccia una chiamata e, se è così, inizia a registrare la conversazione di nascosto e quindi salva la registrazione nella sua directory di lavoro. In seguito carica questo file insieme alle informazioni dettagliate su chiamate sul server remoto, e se non c'è la connessione Internet, lo mette in coda, come nel caso degli sms intercettati. Il trojan può bloccare le chiamate in arrivo e in uscita relative a determinati numeri, rispondere a chiamate ed eliminare le informazioni su di esse dal registro di sistema.

La caratteristica principale di questo trojan è che le sue funzionalità principali sono implementate come una libreria Unix separata (classificata come Android.Titan.2), mentre nella maggior parte dei programmi malevoli per SO Android, le funzioni principali di solito si trovano in un file eseguibile dex standard. Il trojan Android.Titan.1 utilizza il suo file dex solo come un componente ausiliario che contiene le funzioni minimamente indispensabili per il funzionamento del programma malevolo. Questo metodo è assai raro nella creazione di applicazioni malevole Android, e grazie ad esso alcuni programmi antivirus spesso non sono in grado di rilevare l'app pericolosa.

Secondo l'opinione degli analisti dei virus Doctor Web, l'Android.Titan.1 sia ancora nella fase dello sviluppo poiché contiene una serie di errori e una parte delle sue funzionalità rimane inutilizzata. A questo proposito, non possiamo escludere che possa comparire un'altra versione di quest'applicazione pericolosa con funzioni ampliate.

Gli specialisti Doctor Web hanno avvisato il servizio di supporto del cloud storage su cui è stato collocato il trojan, e attualmente la pagina da cui si poteva scaricarlo ha smesso di essere disponibile. Ciononostante, nulla impedisce ai malintenzionati di collocare il trojan su questa o su un'altra risorsa. L'antivirus Dr.Web per Android e l'antivirus Dr.Web per Android Light possono rilevare e rimuovere il trojan Android.Titan.1, quindi i dispositivi mobili protetti tramite le soluzioni dell'azienda Doctor Web sono al riparo dal rischio.