Tutto ciò che occorre sapere su Dogspectus, il malware per Android che si installa da solo

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Android è un ottimo sistema operativo, anche se non può essere certamente definito come il più sicuro: anche questa settimana è stato infatti trovato un nuovo exploit che permette al ransomware Dogspectus (o, come si definisce esso stesso, Cyber.Police), di prendere in ostaggio qualunque device infettato senza richiedere nemmeno una normale procedura d’installazione, fatto alquanto inedito nel panorama dei virus per Android.

Stando infatti ai report della casa di sviluppo e prevenzione Blue Coat, Dogspectus è in grado di eseguire autonomamente il download del proprio file APK e di eseguirne l’installazione senza che siano necessarie schermate di approvazione – normalmente camuffate da parte del trojan per indurre l’utente a concedere inconsapevolmente il proprio consenso.

Un randomware dunque alquanto pericoloso che miete vittime unicamente però nei device il cui sistema operativo non è mai stato aggiornato alle versioni Lollipop e Marshmallow – praticamente il 50% degli smartphone Android totali presenti in circolazione. Siete pronti a scoprire tutto quello che occorre sapere a Dogspectus?

Che cos’è Dogspectus

Dogspectus, in base al comportamento, al metodo d’attacco ed alle strategie adottate per evitare la disinstallazione rientra a pieno titolo all’interno della categoria dei ransomware, trojan che ricattano l’utente ponendo il device infettato sotto sequestro attraverso una falsa schermata di avvertimento.

Dogspectus ransomware Android 4
L’FBI è la protagonista involontaria di molti ransomware

Solitamente i ransomware raggiungono i dispositivi attraverso file APK infetti, documenti ed altri materiali liberamente scaricabili – solitamente su siti poco raccomandabili o su market di terze parti. Una volta riusciti a superare le difese dell’eventuale antivirus inducono l’utente ad autorizzarne l’installazione mostrando una schermata differente rispetto a quella reale, solitamente nascondendo la propria identità adottando il nome e l’aspetto di brand di applicazioni e giochi di più chiara fama.

Nel momento in cui l’installazione viene completata, il ransomware pone sotto sequestro l’intero smartphone: la schermata viene occupata da un falso messaggio di avviso da parte delle forze dell’ordine locali che impongono all’utente il pagamento di un riscatto, solitamente motivando l’azione con l’accusa di ritrovamento di materiale pedopornografico nella memoria interna del telefono. Ci pare inutile specificare che l’unico modo per ottenere nuovamente accesso al proprio device sia una formattazione completa dei dati e non il pagamento della multa.

Come Dogspectus prende possesso dello smartphone

La strategia d’attacco di Dogspectus è molto più subdola ed efficace rispetto a quella già adottata e neutralizzata di altri ransomware: gli sviluppatori del virus infatti hanno fatto sapiente uso di un exploit trovato nel 2014 su Android KitKat e mai risolto da parte di Google. Chiamato “Towelroot“, permette di eseguire un codice Javascript che non solo automatizza il download dei file infetti, ma che rende superfluo il consenso dell’utente all’installazione di Dogspectus stesso, sia pure sotto le mentite spoglie di una normale applicazione.

Dogspectus ransomware Android 6
Lo schema di Dogspectus

Fortunatamente non si tratta di un’exploit che gli hacker possano sfruttare in ogni momento ma di una vulnerabilità di cui l’utente dovrà preoccuparsi solamente se un banner pubblicitario, o le proprie cattive abitudini, lo avranno condotto su uno dei siti aperti dagli sviluppatori del malware. Le ricerche di Blue Coat hanno dimostrato che la maggior parte dei siti dai quali Dogspectus viene scaricato non sono più vecchi di un mese, anche se ne esistono alcuni attivi perfino da febbraio; curiosamente, gli indirizzi IP di queste pagine web, se collegati fra loro, formano una rindondante catena di collegamenti che dimostra che dietro a tali siti sia nascosto lo stesso team creatore di Dogspectus.

Dogspectus ransomware Android 1
Una delle schermate di richiesta del riscatto

Il ransomware, dopo aver eseguito il download sullo smartphone infetto senza chiedere alcun permesso, avvia una finta schermata di caricamento contenente il messaggio “Update now. Please read! Do not turn off or reboot your phone during update. Please try again later.“; durante queste fasi iniziali dell’infezione è ancora possibile utilizzare il tasto Home per riaccedere alla schermata principale, ma ormai il danno è fatto. Attendendo pochi minuti il device verrà infatti nuovamente bloccato, e questa volta definitivamente, da un messaggio di testo a nome dell’FBI, dell'”American national security agency” oppure persino della “Nation security agency” – l’inglese non doveva certo essere la materia preferita di questi hacker.

Dogspectus ransomware Android 7
Una schermata dal sapore tragicomico

Dogspectus metterà sotto sequestro lo smartphone senza specificare alcuna motivazione, ma proponendo il pagamento di 100$ in carte prepagate iTunes – si tratta di un fatto curioso, dato che solitamente i ransomware preferiscono valute digitali come i Bitcoins. A rendere questo malware ancor meno minaccioso, e perfino comico, sono le rilevazioni di Blue Coat: Dosgpectus non crittografa i dati del device, e dunque basterà formattare la memoria interna per liberarsene, ed oltretutto avvisa in una delle schermate di blocco: “Ricorda: se qualcuno ti propone un pagamento attraverso carte regalo di iTunes, allora è una truffa“.

Come difendersi da Dogspectus

Attualmente Dogspectus rappresenta una minaccia per i soli device Android KitKat ed Ice Cream Sandwich: la vulnerabilità su cui si cardina il funzionamento non è infatti presente nelle versioni successive e precedenti di Android e, anche se questo potrebbe far tirare un sospiro di sollievo alla maggior parte dell’utenza, ricordiamo che l’exploit copre circa il 50% dei device Android in circolazione.

Dogspectus ransomware Android 3
Avast dice bene: mai pagare un riscatto per un ransomware

I nostri consigli sono sempre gli stessi, dunque: aggiornare il sistema operativo appena possibile, dotarsi di un buon antivirus e, se possibile, acquistare uno smartphone nuovo, evitando assolutamente – così come gli stessi ragazzi di Blue Coat consigliano – i tablet di basso livello che spesso si rivelano le vittime preferite di questi ransomware in quanto il sistema operativo risulta inevitabilmente fermo a KitKat.

Non fatevi tracciare: scoprite QUI tutte le app per permettervi di navigare anonimamente su Android!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè i prossimi approfondimenti sulla Sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

[wysija_form id=”3″]

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//