5 febbraio 2016

L'architettura dei programmi malevoli per la piattaforma mobile Android diventa sempre più complessa con il passare degli anni: e se i primi trojan erano delle applicazioni abbastanza primitive, adesso tali malware sono a livello dei trojan Windows più progrediti. A febbraio 2016 gli specialisti Doctor Web hanno rilevato un intero completo di applicazioni malevole per SO Android che dispongono di una vasta gamma di funzioni.

Questo set è composto da tre trojan che agiscono unitamente e che abbiamo denominato Android.Loki.1.origin, Android.Loki.2.origin e Android.Loki.3. Il primo dei malware elencati viene scaricato tramite la libreria liblokih.so, la quale l'Antivirus Dr.Web per Android conosce sotto il nome di Android.Loki.6. Questa libreria viene incorporata in uno dei processi di sistema da parte del trojan Android.Loki.3 — come risultato Android.Loki.1.origin ha la possibilità di funzionare nel sistema con i privilegi dell'utente "system". Android.Loki.1.origin è un servizio che dispone di una vasta linea di funzioni: per esempio il trojan può scaricare qualsiasi app dalla directory ufficiale Google Play tramite un apposito link che contiene le indicazioni di un account di un partner program, grazie a cui i malintenzionati hanno l'opportunità di guadagnare. Tra le altre possibilità di Android.Loki.1.origin vanno segnalate le seguenti, ovvero può:

• installare e rimuovere applicazioni;
• attivare e disattivare applicazioni e dei loro componenti;
• terminare processi;
• visualizzare avvisi;
• registrare applicazioni come Accessibility Service (un servizio che monitora i tocchi dello schermo del dispositivo);
• aggiornare i propri componenti, nonché scaricare plugin su comando dal server di gestione.

Il secondo programma malevolo dal completo rilevato dagli analisti Doctor Web — ovvero Android.Loki.2.origin — è studiato per installare diverse applicazioni sul dispositivo compromesso su comando dal server di gestione, nonché per mostrare annunci. Questo trojan possiede anche le funzioni spione e dopo che è stato avviato, raccoglie e manda ai malintenzionati le seguenti informazioni:

• IMEI del dispositivo infetto;
• IMSI del dispositivo infetto;
• indirizzo mac del dispositivo infetto;
• identificativo MCC (Mobile Country Code) — codice mobile di paese;
• identificatore MNC (Mobile Network Code) — codice di rete mobile;
• versione del SO installato sul dispositivo infetto;
• valore di risoluzione dello schermo;
• dati circa la memoria operativa (il volume generale e il volume libero);
• versione del kernel del SO;
• dati circa il modello del dispositivo;
• dati circa il produttore del dispositivo;
• versione del firmware;
• numero di serie del dispositivo.

Dopo aver spedito queste informazioni sul server di controllo, il trojan ottiene come risposta un file di configurazione che contiene i dati necessari per il funzionamento. A intervalli di tempo regolari Android.Loki.2.origin si connette al server di gestione per ottenere task e durante ogni sessione di comunicazione trasmette ai malintenzionati in aggiunta i seguenti dati:

• versione del file di configurazione;
• versione del service realizzato dal trojan Android.Loki.1.origin;
• lingua del sistema operativo;
• paese specificato nelle impostazioni del sistema operativo;
• informazioni sull'account dell'utente nei servizi Google.

Dal server Android.Loki.2.origin ottiene un task per installare qualche applicazione (le app possono essere scaricate anche da Google Play) o per visualizzare pubblicità. Se l'utente fa clic su un avviso visualizzato dal trojan, il dispositivo viene reindirizzato su un determinato sito, o un'applicazione viene installata. Inoltre, su comando dei criminali informatici Android.Loki.2.origin manda sul server di controllo le seguenti informazioni:

• lista delle applicazioni installate;
• cronologia del browser;
• lista dei contatti dell'utente;
• cronologia delle chiamate;
• posizione attuale del dispositivo.

Infine, Android.Loki.3 svolge sul dispositivo compromesso due funzioni: incorpora la libreria liblokih.so nel processo del servizio di sistema system_server ed esegue a nome del superutente (root) dei comandi che provengono dagli altri trojan della famiglia Android.Loki. De fatto, Android.Loki.3 svolge il ruolo del server per l'esecuzione di script shell: i criminali informatici trasmettono al trojan il percorso di uno script da eseguire e Android.Loki.3 lancia questo script.

Siccome i trojan della famiglia Android.Loki mettono una parte dei loro componenti nelle cartelle di sistema di SO Android, a cui un programma antivirus non può accedere, quando sul dispositivo viene rilevato uno di tali programmi malevoli, il metodo migliore per eliminare le conseguenze dell'infezione consiste in una reinstallazione del firmware del dispositivo con utilizzo di un'immagine originale del SO. Prima di iniziare questa procedura, è consigliato fare un backup di tutte le informazioni importanti conservate sullo smartphone o sul tablet infetto, mentre agli utenti con una minore esperienza è consigliato affidare questa manipolazione a uno specialista.