Tutto ciò che occorre sapere su HummingBad, il malware più diffuso (e pericoloso) su Android

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Indicare un malware come “il più pericoloso della propria categoria” è sempre un azzardo; primariamente si rischia di incorrere in un prevedibile errore di generalizzazione, in secondo luogo chi ben conosce l’ambiente, è conscio che i malware sono come le dune del deserto: in continua evoluzione e, ciò che oggi può sembrare minaccioso per la sicurezza degli utenti, domani apparirà ridicolo una volta scoperta la vulnerabilità sfruttata dal virus per operare indisturbato.

Eppure in questo caso non ci sentiamo di cadere in nessuno di questi due errori definendo HummingBad come la più grande minaccia per Android, perlomeno degli ultimi mesi: stando ai report delle agenzie del settore, HummingBad (che rappresenta una famiglia di malware più che un singolo virus a sè stante) si è distinto nel mese di marzo come l’autore più prolifico di attacchi contro la sicurezza dei dati degli utenti, un fatto preoccupante se consideriamo che HummingBad è in grado, così come GhostPush, di auto-rootare lo smartphone acquisendone i permessi di amministratore.

Siete pronti dunque per conoscere HummingBad?

Che cos’è HummingBad

HummingBad raccoglie all’interno del proprio nome, e della propria sinistra fama, una serie di malware che nel corso dei primi mesi del 2016 hanno fatto largamente parlare di sè, distinguendosi per gli attacchi su vasta scala condotti contro obiettivi militari ma anche e soprattutto civili, in particolare smartphone Android.

HummingBad Android 3
Android si conferma per essere il sistema operativo sotto maggiore attacco

In origine HummingBad venne per la prima volta scoperto e catalogato come un malware presente all’interno di applicazioni a sfondo pornografico presenti su market di terze parti; successivamente venne adottato dagli hacker di tutto il mondo come successore di Ghost Push, Brain Test e Xinyinhe, famiglie di malware che si distinguono generalmente per la capacità di auto-rootare il device attaccato senza che il proprietario possa accorgersene.

Il laboratorio di ricerca che per la prima volta ne ha annunciato la scoperta, Check Point, ha definito HummingBad ancor più pericoloso dei precedenti malware citati perchè non soltanto è in grado di prendere possesso dello smartphone ma anche di assicurarsi il controllo dello stesso attuando un attacco separato in due fasi distinte e ben strutturate.

Questa complessità è valsa a HummingBad il trofeo di malware più operoso di marzo 2016, posizionandosi in testa alla classifica e seguito da AndroRAT e Iop; Nathan Shuchami, Head of Threat Prevention all’interno di Check Point, ha inoltre affermato che è probabile che HummingBad accrescerà il numero di attacchi nei prossimi mesi.

Come HummingBad prende possesso dei device

HummingBad provvede ad installarsi sul device sotto forma di file completamente crittografati, il che rende molto più complicato per le applicazioni di sicurezza riscontrare delle anomalie nella struttura dei pacchetti appena scaricati. In secondo luogo, HummingBad procede con un attacco articolato in due fasi distinte ma per certi aspetti completamente simili, sino a risultare addirittura ridondanti ma aventi come unico scopo la presa di possesso del device.

HummingBad Android 1
La multiforme procedura d’attacco

Il primo vettore d’attacco viene lanciato in seguito all’attuazione di una di queste tre condizioni: il riavvio dello smartphone, l’accensione dello schermo del device oppure semplicemente dopo qualche ora, nel caso in cui il telefono sia rimasto inutilizzato (tre eventi molto probabili che rendono l’attivazione del malware praticamente certa); dopodichè, il vettore procede con la scansione del device alla ricerca dei permessi di root. Qualora lo smartphone sia ancora Android stock, HummingBad provvederà a scaricare da server complici i pacchetti necessari per avviare la procedura di rooting, lanciando attacchi multipli per raggiungere il proprio scopo.

Se la procedura fallisce, e solo in quel caso, si attiva il secondo vettore che invece tenterà di installare i file APK infetti, che altrimenti sarebbero stati trasferiti sul device senza alcuna richiesta di permesso, servendosi di false schermate d’aggiornamento. Fingendo che si trattino di “aggiornamenti di sistema“, HummingBad tenterà di scaricare sul device decine di applicazioni infette le quali le consentiranno di ottenere anche i permessi di amministratore.

HummingBad, arrivati a questo punto, possiederà le facoltà di prendere possesso non solo del device, ma anche dei dati archiviati al suo interno così come delle credenziali dell’utente per ottenere guadagno da un sistema di promozione ed advertising invadente.

Come difendersi da HummingBad

Come accade di solito in queste occasioni, sono ben pochi i consigli che possiamo riferirvi: dato che HummingBad si trova solamente all’interno di market di terze parti, vi sconsigliamo vivamente di scaricare applicazioni da fonti esterne a Google Play ed Amazon Underground, mentre se siete ancora Android Stock – e non avete ancora provveduto ad ottenere i permessi di root – allora considerate anche questi rischi nel momento in cui inizierete la procedura di invalidamento della garanzia.

HummingBad Android 4
Proteggere un device diventa una sfida sempre più complessa

Allo stato attuale non esiste nemmeno un’app che scansioni il device e rilevi la presenza del malware dato che HummingBad ha dimostrato un’estrema malleabilità ed è sufficiente che vengano sostituite e modificate un paio di righe di codice per rendere il malware invisibile agli scanner.

Non restare allo scoperto, proteggiti mentre navighi su Internet grazie a QUESTI Saggi Consigli e suggerimenti per nascondere la propria identità online su Android!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//