Tutto ciò che bisogna sapere sui 20.000 malware-trojan Android individuati da Lookout

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Lookout, la famosa compagnia di sviluppo e sicurezza software, ha individuato negli ultimi giorni tre differenti – ma allo stesso tempo simili – famiglie di malware che, simulando diversi elementi riconducibili a famose e ben note applicazioni e giochi presenti regolarmente su Google Play (come Candy Crush, The New York Times e molti altri ancora), attirano l’utente in una trappola mortale da cui difficilmente è possibile uscire.

L’allarme si è naturalmente diffuso, perchè, secondo le stime del team di prevenzione virus e malware, le applicazioni duplicate sarebbero non meno di 20.000, tutte diffuse sul web in market esterni a quelli ufficiali (Google Play ed Amazon App Shop); anche nella pur vana speranza che il numero non debba essere ritoccato al rialzo, si tratta di un’enorme minaccia visto che la pratica del download presso fonti non ufficiali è ben diffusa e radicata su Android, nonostante gli avvertimenti degli ultimi anni da parte di siti d’informazione tecnologica specializzata sui rischi che si corrono.

Ma come agiscono questi malware, perchè dovremmo esserne spaventati e quali sono le ripercussioni sulla salute dello smartphone? Siete pronti per scoprirlo?

Le 3 famiglie dei malware

L’allarme lanciato da Lookout è partito nel momento in cui il team di ricerca si è reso conto delle profonde interconnessioni presenti tra tre grandi famiglie di malware, ossia tre gruppi comuni a cui tutti i più recenti virus e malware possono essere ricondotti per via delle tattiche di infezione utilizzate nei confronti dei device degli utenti.

Malware Android Lookout 1
Tre famiglie per tanti, troppi malware

La prima famiglia, chiamata Shuanet, si distingue per la capacità di eseguire un auto-rooting dello smartphone e nascondersi nei momenti immediatamente successivi l’ottenimento delle credenziali di amministratore del dispositivo nelle cartelle di sistema; il secondo raggruppamento di malware prende il nome di Kemoge (o meglio conosciuto come ShiftyBug) ed i virus a loro riconducibili non si limitano ad eseguire un root automatico del sistema, ma provvedono ad installare applicazioni a pagamento senza autorizzazione, arrivando a far guadagnare al loro creatore persino 2$ per installazione. Il terzo gruppo prende il nome di Shodun (il cui più celebre rappresentante è senza dubbio Ghost Push, di cui abbiamo già parlato QUI); mentre solitamente gli antivirus provvedono a classificare questi malware come adware, in realtà sono dei trojan, ossia cavalli di troia.

Nel gergo informatico i trojan sono malware o virus che penetrano le difese del sistema ospite fingendosi programmi o applicazioni benevole, svelando il proprio contenuto molto tempo dopo l’installazione o persino durante l’utilizzo, lavorando in background; nel caso di queste tre famiglie tutti gli appartenenti si presentano all’utente nella forma di app completamente innocue o addirittura come file APK di giochi celebri del calibro di Candy Crush ed Angry Birds, e sono 20.000 i file infetti finora analizzati.

Perchè dovremmo essere spaventati

Quali sono i motivi che spingono noi e Lookout a mettere in guardia gli utenti Android riguardo la pericolosità di questi malware? Le ragioni sono diverse, e tutte fondate.

Malware Android Lookout 6
Una perfetta arte dell’imitazione

Primariamente, i programmatori di tali malware si sono dimostrati molto più abili del previsto, riuscendo persino a clonare il sistema di autenticazione di Okta, un’azienda informatica specializzata nella sicurezza dei dati immessi nelle applicazioni e nei programmi. Ma non solo: tali trojan sono diventati talmente esperti nell’arte della mimetizzazione che non si limitano più a copiare semplicemente il nome e l’icona dell’app di cui tentano di prendere il posto, ma ne imitano alla perfezione anche il funzionamento, rendendo quasi impossibile, da parte dell’utente, la distinzione tra un’app originale ed il suo clone infetto; a tale categoria appartiene il malware Shuanet.a, ma certamente gli esempi si contano sull’ordine delle centinaia.

Malware Android Lookout 4
Anche Candy Crush è inserito nell’elenco delle app clonate

L’idea che dietro a questo upgrade delle capacità dei malware ci sia una precisa strategia sta prendendo piede anche negli ambienti di Lookout, specialmente dopo che è stata riscontrata una tremenda somiglianza tra i malware appartenenti alle famiglie Shuanet, Shedun e ShiftyBug. Naturalmente ciò non significa che esista da qualche parte un’associazione di hackers riuniti con l’intento di sabotare più device possibili, quanto piuttosto si ritiene probabile che per la creazione di tali virus siano state usate ampie porzioni di codice provenienti da una medesima fonte.

La maggior parte di tale malware presenta tra loro una somiglianza che varia in termini percentuali tra il 71% e l’82%; ciò è spiegato dall’utilizzo dei file di sistema di altre tre famiglie di root exploits, precisamente Framaroot, Memexploit e ExynosAbuse. Sviluppare di per sè un codice che consenta di eseguire un rooting automatico degli smartphone è complesso e laborioso, e molti hackers preferiscono utilizzare le stesse basi per poi differenziare susseguentemente le proprie creazioni. Non solo: tali similarità si riscontrano nel sistema d’infezione: gran parte di questi file infatti ha la possibilità di duplicarsi sino ad un massimo di 8 volte, avendo così molte più probabilità di ottenere i permessi di amministratore.

Quali saranno le conseguenze?

Un’attenzione così particolare da parte dei malware nei confronti delle procedure di auto-rooting non può che avere delle nefaste conseguenze per tutte le categorie sociali coinvolte: gli utenti, gli sviluppatori e le aziende stesse.

Malware Android Lookout 5
Conseguenze devastanti, soprattutto per gli utenti / Crediti immagine a CNet

I primi naturalmente sono coloro più direttamente esposti al rischio: qualora un Android users dovesse venire a contatto con un virus appartenente ad una di queste tre famiglie, nel 99% dei casi la soluzione più plausibile (e l’unica percorribile) sarebbe l’acquisto di un nuovo smartphone e la rottamazione di quello vecchio, dato che una volta che il malware ha raggiunto il controllo dei permessi di amministratore è virtualmente impossibile rimuoverlo.

In secondo luogo gli sviluppatori devono fare attenzione al danno d’immagine che questi trojan causano, dato che portano gli utenti ad associare le disfunzioni e i danni apportati indirettamente all’app di cui i file infetti simulavano il nome. E nemmeno le compagnie di distribuzione delle pubblicità possono modificare granchè lo stato attuale delle cose: qualora infatti apportassero dei cambiamenti al sistema di pagamento retribuito dai banner pubblicitari (pay-per-click) che gli hacker sfruttano, questi troverebbero un nuovo modo per sfruttare i permessi estorti con l’inganno.

Come difendersi

Quali sono le misure di prevenzione da attuare contro questa nuova generazione di malware?

Malware Android Lookout 3
Quali misure per difendersi?

Dato che i virus descritti sono principalmente presenti nel web sotto forma di file APK di app popolari, il nostro consiglio non può che essere quello solitamente dispensato in simili occasioni: affidatevi solamente a market ufficiali (Google Play Store o Amazon App Shop) o di comprovata sicurezza (APK Mirror), e non ricorrete a metodi illegali di recupero di file APK di app a pagamento; qualora non riusciate a scaricare un file APK per via di un errore del Play Store, affidatevi solo a QUESTI siti specializzati e di comprovata fiducia.

Scopri QUI tutto ciò che bisogna fare per rimuovere un malware Android dal proprio smartphone!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi Approfondimenti nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//