Tutto ciò che occorre sapere su Accessibility Clickjacking, il malware che infetta 500 milioni di utenti

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Sono passati soltanto pochi giorni dalla comunicazione dell’ultima, grande minaccia per Android – il malware Triada, il primo virus modulare che giunge su Android ben prima dell’omonimo smartphone – ma evidentemente erano abbastanza perchè un nuovo pericolo si presentasse, questa volta solamente per gli smartphone fermi ad Android 4.4 KitKat ed inferiori: Accessibility Clickjacking è il nome generico dato da Skycure, l’azienda che ha scoperto la presenza di questo nuovo trojan – e del quale per fortuna fornisce un rimedio.

Siete pronti per scoprire tutto quello che occorre sapere su Android Clickjacking, come funziona ma soprattutto come difendersi dalla minaccia?

Che cos’è un Accessibility Clickjacking

Un Accessibility Clickjacking non è altro che un malware che sfrutta le Accessibility APIs, diffusesi sul sistema operativo di Google a partire da Android 1.6 ma implementate significativamente con Android 4.0, che consentono ad un’applicazione di interagire con i contenuti visualizzati sullo schermo dello smartphone; sono molto utili per permettere ad app di gestione di posta elettronica, browser o assistenti personali per accedere a documenti o file, ma possono allo stesso modo interessare molto anche agli sviluppatori di malware.

Accessibility Clickjacking  cos'è 5
L’accessibilità è un vantaggio ma anche un pericolo

Per fortuna Google è molto più lungimirante di un qualsiasi hacker, e di conseguenza per poter concederei permessi di accessibilità ad un’applicazione occorre accedere ad un complicato sistema di Impostazioni che non è possibile bypassare attraverso un solo click. Sfortunatamente, però, Accessibility Clickjacking ha scoperto un metodo semplice ed efficace per prendere il controllo dello smartphone grazie alla collaborazione (inconsapevole) dell’utente.

Come Accessibility Clickjacking attacca le vittime

Generalmente un Clickjacking è un tipo di malware che sfrutta la propria capacità di creare una falsa interfaccia per invogliare l’utente a tappare in determinati punti dello schermo; in questo modo il malcapitato utilizzatore ritiene di limitarsi ad interagire con l’applicazione maligna ma in realtà esegue delle azioni nel telefono di cui non si accorge, poichè non visibili direttamente essendo coperte dall’interfaccia che il malware provvede a ricreare.

Accessibility Clickjacking  cos'è 3
Nell’esempio di SkyCure il pericolo è dato da un falso gioco di Rick Morty

Questi tipi di virus sono stati presenti per anni su Windows ed Android, diventando un vero e proprio incubo per social network ed altre applicazioni come Flash e Adobe; proprio per questo motivo nel corso del tempo le piattaforme più attaccate hanno provveduto a creare un rigido sistema di difesa, anche se ciò non sembra essere stato sufficiente per impedire agli sviluppatori di Accessibility Clickjacking di sfruttare questo espediente per ottenere i permessi di accessibilità e, di conseguenza, quelli di amministratore, provvedendo a prendere definitivamente il controllo dello smartphone.

Stando ad un video diffuso da Skysecure, Accessibility Clickjacking inganna le proprie vittime presentandosi come un innocuo e simpatico gioco mobile – Rick and Morty, in questo caso – e spingendo l’utente a tappare su determinati punti dello schermo per acquisire un obiettivo o per avviare il gioco; in realtà osservando ciò che accade al di sotto della patina del malware, si può ben notare che l’utente non fa altro che concedere al trojan i permessi di accessibilità, i quali gli permettono di entrare in possesso dei dati diffusi dalle app di messaggistica, delle app stesse e di numerosi altri contenuti salvati all’interno dello smartphone. Allo stesso modo poi Accessibility Clickjacking può ottenere anche i permessi di amministratore, diventando così impossibile disinstallare il malware.

In termini tecnici il virus si basa su una serie di permessi fondamentali che l’utente gli concede al momento dell’installazione, ma certamente il più importante è SYSTEM_ALERT_WINDOW, il quale gli consente di creare pop-up ed altre schermate sull’interfaccia stessa; solitamente viene richiesto da app come Messenger per consentire di proseguire una chat mentre si continuano ad utilizzare altre applicazioni, ma non in questo caso. Naturalmente però tale permesso in sè non consente di interagire con il sistema operativo attraverso una falsa interfaccia: è qui che i permessi TYPE_SYSTEM_OVERLAY e FLAG_NOT_FOCUSABLE diventano fondamentali.

Come difendersi da Accessibility Clickjacking

Le difese contro il virus riguardano chiaramente solo le versioni del sistema operativo che sono coinvolti dalla vulnerabilità: gli utenti che dispongono di smartphone con Android Lollipop e Android Marshmallow non sono coinvolti, dato che le patch di sicurezza hanno annullato il rischio di infezione da parte di Accessibility Clickjacking.

Accessibility Clickjacking  cos'è 1
In rosso sono segnalate le versioni vulnerabili

Diversa è invece la situazione per le versioni precedenti a partire da Android 2.2 a terminare ad Android 4.4: praticamente il 65% degli smartphone in circolazione sono potenzialmente in pericolo, un numero di device che supera i 500 milioni. Le difese sono sempre le più classiche che possiamo consigliarvi in questi casi:

Non scaricate mai applicazioni da market esterni, ma solamente da quelli ufficiali;

Non tappate mai su finestre di dialogo sospette;

Aggiornate il sistema operativo non appena l’update si dimostra disponibile oppure, come extrema ratio, acquistate uno smartphone più recente.

Non solo: scopri QUI quali sono tutti i peggiori malware di Android e come difendersi dai loro attacchi!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//