Antivirus per Android rubava informazioni dal dispositivo


È una delle app di sicurezza più popolari su Google Play. Ora il produttore ha rimosso la funzione e Google ha l’ha riammesso sullo store.

Non solo i malware: a rubare le informazioni dal nostro smartphone adesso ci si mettono anche le app antivirus. È successo nel caso di un’app per Android chiamata DU Antivirus Security, che secondo le statistiche di Google Play avrebbe tra i 5 e i 10 milioni di download.

Ad accorgersene sono stati i ricercatori di Check Point, che si sono accorti di alcune attività “sospette” da parte di DU Antivirus. Nel dettaglio, l’app copiava, crittografava e inviava a un server remoto informazioni riguardanti il dispositivo, la lista contatti e il registro delle chiamate. Tutto senza richiedere alcun permesso o mostrare una notifica all’utente.

antivirus ruba informazioni

Non solo antivirus, ma anche protezione della privacy. Certo, dopo che è stata violata già al momento dell’installazione dell’app .

***foto***Non solo antivirus, ma anche protezione della privacy. Certo, dopo che è stata violata già al momento dell’installazione dell’app

Il motivo? Le informazioni venivano memorizzate e utilizzate da un’altra app (DU Caller) dello stesso produttore. Dopo la segnalazione di Check Point, Google ha rimosso l’app e l’ha riammessa solo quando il produttore DU Group ne ha proposta una senza la funzione che “spazzolava” le informazioni personali.

Check Point ha individuato lo stesso modulo su altre 30 app. Ben 12 di queste erano presenti nel Google Store e sono state prontamente rimosse.

Per quanto riguarda DU Antivirus Security , le versioni successive alla 3.1.5 si possono considerare “pulite”, sempre che qualcuno abbia ancora voglia di affidare la sicurezza del suo dispositivo a un produttore che faceva incetta di dati personali senza chiedere il permesso.



Articoli correlati

Altro in questa categoria


Toast message su Android: attenzione a cosa premiamo sullo schermo


I pirati informatici possono usare i messaggi “toast” per ingannarci e ottenere permessi che non concederemmo mai alle loro app.

Non solo tecniche sofisticate per violare il sistema operativo attraverso exploit zero-day e attacchi che sfruttano le falle del sistema operativo: il diluvio di malware e app malevole per Android è dovuto anche a tecniche molto più “artigianali” che consentono ai pirati di ottenere l’accesso ai nostri dati attraverso trucchi relativamente banali.

Uno di questi è stato illustrato da alcuni ricercatori di Palo Alto Networks in un report che ne illustra in dettaglio le caratteristiche.

Cong Zheng, Wenjun Hu, Xiao Zhang e Zhi Xu hanno acceso I riflettori in particolare sulla possibilità che I cyber-criminali sfruttino una nuova tecnica di overlay.

L’overlay è quel sistema che consente a un’app di visualizzare immagini e messaggi sovrapponendoli ad altre app, consentendo così ai pirati di ingannare le potenziali vittime e indurle a premere un comando quando pensano di selezionarle un altro.

Di solito questa tecnica è utilizzata dai pirati informatici per fare in modo che gli utenti concedano alle loro app permessi che gli consentono di accedere a informazioni riservate o a ottenere i permessi di amministratore.

Toast Android

A sinistra quello che vediamo. A destra la realtà: premendo “continua” si accetta di dare nuovi permessi all’app.

Google, negli ultimi mesi, ha notevolmente limitato la possibilità di utilizzare l’overlay, introducendo una serie di permessi anche per questa funzione.

Secondo i ricercatori di Palo Alto Networks, però, c’è ancora uno strumento di Android che consentirebbe di sfruttare questa tecnica. SI tratta dei cosiddetti toast message, quelli che compaiono sullo schermo e di solito svaniscono dopo poco tempo e che hanno la funzione di notificare operazioni in corso.

In un video che è possibile visualizzare sulla pagina Web che contiene i dettagli della vulnerabilità si vede per esempio, come sia possibile usare questa tecnica per fare in modo che l’utente conceda dei nuovi permessi a un’app.

Stando a quanto riportano i ricercatori, la possibilità di utilizzare questa tecnica è stata eliminata nell’ultima versione di Android (8.0 Oreo) ma tutte le versioni precedenti sarebbero vulnerabili.

Il consiglio, quindi, è quello di aggiornare immediatamente il sistema del nostro dispositivo (se possibile) e adottare qualche accorgimento di buon senso. Per esempio non installare sul telefono app di provenienza non verificata (e già questo farebbe molto) e fare attenzione quando ci troviamo di fronte richieste di permessi “sospetti”.



Articoli correlati

Altro in questa categoria


Spunta una vulnerabilità vecchia di 6 anni nei PDF viewer


La falla di sicurezza affligge quasi tutti i software in circolazione, con l’esclusione di OS X e Adobe. Ora la corsa all’aggiornamento.

La prima volta che è stata individuata era il 2011 e sembrava interessasse soltanto un componente di Evinence, un’app per la visualizzazione di documenti in formato PDF su piattaforma Linux.

Secondo il ricercatore Hanno Böck, però, la stessa falla interesserebbe la maggior parte dei visualizzatori oggi in circolazione, compresi quelli utilizzati nei browser.

Il bug permette di provocare un loop che esaurisce le risorse del processore e si trasforma in buona sostanza in uno strumento per portare un attacco DoS (Denial of Service) al browser.

Certo, non si tratta di una falla clamorosa e, in particolare, è piuttosto difficile che qualcuno possa trasformarla in un vero e proprio exploit. In ogni caso rimane un problema con cui è necessario fare i conti.

vulnerabilità PDF

Mandare in crash un browser usando un file PDF può essere usato come vettore di attacco? Al momento non sembra, ma non si sa mai…

Böck ha individuato il problema nel componente integrato in Chrome (PDFium) così come in quello utilizzato da Firefox, in questo caso nella libreria usata per visualizzare i file in formato PDF senza l’uso di plugin. Sia Google che Mozilla hanno comunque già reso disponibili gli update che risolvono il problema.

L’elenco delle vittime comprende (ovviamente) Microsoft Edge, per il quale però non sembra sia ancora pronto il fix. Immuni, invece, lo storico Acrobat Reader di Adobe e il software Apple integrato in OS X.

Difficile capire quanto il bug possa impattare sui tanti software per la visualizzazione e la gestione dei PDF in circolazione. Il ricercatore tedesco, in ogni caso, ha pubblicato su GitHub un file di test che permette agli sviluppatori di eseguire i test per verificare la “tenuta” delle app.



Articoli correlati

Altro in questa categoria


Abbattuta una gigantesca botnet di dispositivi Android


Era un vero esercito composto da migliaia di device usato dai pirati per portare attacchi DDoS. La botnet smantellata da un’alleanza tra società di sicurezza.

Erano riusciti a mettere in piedi una vera armata di bot controllati a distanza attraverso app infette che gli permettevano di utilizzare le connessioni di smartphone e tablet per portare attacchi DDoS a siti Internet e infrastrutture informatiche.

L’attività del gruppo di cyber-criminali è stata interrotta solo grazie allo sforzo congiunto di un gruppo di società di sicurezza e dell’IT che hanno unito le loro forze per “abbattere” la gigantesca botnet individuando i server Command and Control e mettendoli K.O.

Come riporta Michael Mimoso di Kaspersky, l’azione che ha portato allo smantellamento della botnet WireX ha coinvolto aziende del calibro di Akamai; Cloudflare; Flashpoint; Google; Oracle; RiskIQ e Team Cymru.

Un fronte ampio che ha visto lavorare fianco a fianco anche aziende concorrenti, con lo scopo di eliminare un pericolo altrettanto eccezionale. Secondo i ricercatori che hanno partecipato all’azione, infatti, WireX sarebbe la botnet più grande mai individuata.

A lanciare l’allarme sulla presenza di un soggetto in grado di portare attacchi DDoS di notevole violenza è stata Akamai, che nel mese di agosto ha individuato attacchi che in alcuni momenti coinvolgevano fino a 120.000 IP diversi nel momento massimo di picco, individuato tra il 15 e il 17 agosto.

botnet Android WireX

Il volume di connessioni individuate da Akamai è davvero impressionante. Nei momenti di picco supera i 120.000 IP unici.

Secondo le stime dei ricercatori, in realtà, il numero di dispositivi infetti controllati attraverso WireX era di “soli” 70.000 device. Come puntualizza Mimoso, questa discrepanza tra i numeri può essere dovuta al fatto che quando un telefono passa da una cella all’altra ottiene un nuovo indirizzo IP.

I dati “gonfiati” sarebbero quindi da attribuire al fatto che i proprietari di alcuni dispositivi coinvolti negli attacchi fossero in movimento.

Ma come è stato possibile arrivare a una situazione del genere? Le indagini condotte dal team di ricercatori non lascia dubbi: i pirati erano riusciti a imbottire il Google Store di app infette. La società di Mountain View, secondo quanto riportato da Justin Paine di Cloudflare, tra quelle nel Google Store e quelle in siti di terze parti ne avrebbe individuate (e rimosse) più di 300.

Il fatto che nessuno se ne fosse accorto, invece, si spiega con un cambio di strategia dei pirati informatici. Secondo Allison Nixon di Flashpoint, il malware in questione è una variante del ben conosciuto Android.Clicker, che fino a qualche tempo fa aveva un comportamento completamente diverso.

botnet Android WireX

La maggior parte delle app in questione sono Media Player o semplici programmi per la creazione di suonerie come quello che vediamo in questa immagine.

Android.Clicker, infatti, era il classico malware progettato per procurare guadagni ai cyber-criminali facendo clic su annunci pubblicitari e siti controllati dagli stessi pirati. La sua “mutazione” in uno strumento di attacco tramite DDoS sarebbe quindi qualcosa di recente.



Articoli correlati

Altro in questa categoria


Svpeng: il trojan per Android che sfrutta le funzioni per disabili


Il malware è stato modificato con l’aggiunta di un keylogger che sfrutta le funzioni di accessibilità del sistema Google.  

I ricercatori Kaspersky, che lo hanno analizzato, lo definiscono come un passo verso “una nuova era dei trojan bancari per dispostivi mobili”. Si tratta dell’ultima variante di Svpeng, un malware comparso nel 2013 e i cui autori in passato hanno dimostrato di essere particolarmente “innovativi”.

Il malware viene diffuso sotto forma di un’app che viene proposta come un “Flash Player” (sigh) e, una volta installata, chiede il permesso di utilizzare le funzioni di accessibilità, cioè quelle che normalmente servono a interagire con il dispositivo quando si è impossibilitati (per cause contingenti o per una disabilità) a utilizzarlo normalmente.

Abusando di questo permesso, Svpeng è in grado di ottenere privilegi di amministratore, inserire il suo codice all’interno di altre app, ottenere i permessi per accedere ai contatti, inviare SMS e fare chiamate telefoniche.

Svpeng trojan Android

L’uso delle funzioni di accessibilità permette al trojan di ottenere i privilegi di amministratore sul dispositivo. Da quel momento per i pirati la strada è tutta in discesa.

L’accesso ai servizi per disabili permette inoltre al malware di memorizzare uno screenshot ogni volta che viene premuto un tasto sullo smartphone e, di conseguenza, rubare testo da qualsiasi applicazione.

Secondo i ricercatori Kaspersky l’obiettivo principale dei pirati sarebbero i servizi di home banking, ma considerata la versatilità del malware, la sua attività permetterebbe ai cyber-criminali di carpire qualsiasi tipo di informazione.

Per aggirare i sistemi di protezione usati da alcune app di servizi bancari, che impediscono la cattura di screenshot quando l’app è in primo piano, Svpeng posiziona una sua finestra (trasparente) al di sopra dell’app di home banking.

Il malware, secondo gli analisti, è ancora in una fase di sviluppo e la sua diffusione è piuttosto limitata. I campioni individuati da Kaspersky però provengono da 23 paesi diversi, il che lascia pensare a una campagna di distribuzione che, se anche è in una fase iniziale, ha dimensioni notevoli.

Oltre alle funzioni di keylogging, Svpeng integra anche altri strumenti di attacco, come l’uso di collegamenti “drogati” a numerosi siti bancari (in Regno Unito; Germania; Turchia; Australia; Francia; Polonia e Singapore) che gli permetterebbero di portare attacchi di phishing alle vittime.



Articoli correlati

Altro in questa categoria


Roomba si prepara a vendere le mappe delle case dei suoi clienti?


L’amministratore delegato di iRobot ipotizza la vendita delle mappe a colossi dell’informatica come Apple, Google e Amazon.

Quali rischi corre la nostra privacy con i dispositivi della “Internet delle cose”? Alcuni sono ovvi, altri un po’ meno. Nessuno, però, poteva immaginarsi che uno dei pericoli potesse essere quello di fornire una mappa della propria casa registrata da… l’aspirapolvere.

L’ipotesi è spuntata in seguito a un’intervista rilasciata a Reuters da Colin Angle, amministratore delegato di iRobot. L’azienda, conosciuta in tutto il mondo per i suoi aspirapolvere-robot Roomba, secondo Angle starebbe valutando l’ipotesi di vendere i dati raccolti dai suoi elettrodomestici “intelligenti”.

Ma di quali dati stiamo parlando? Semplice: la mappa della casa in cui “lavora” l’aspirapolvere. I modelli più recenti di Roomba, infatti, memorizzano al loro interno la mappa della casa per ottimizzare i movimenti ed evitare mobili e arredi.

Tutti questi dati, fino a oggi, sono conservati nella memoria dell’aspirapolvere ma, in un prossimo futuro, potrebbe non essere più così. Angle, infatti, ritiene che le informazioni sulla planimetria del nostro appartamento possa interessare le aziende che si occupano di domotica.

Secondo il CEO di iRobot, infatti, ci sarebbe “un intero ecosistema di dispositivi e servizi che potrebbero avvantaggiarsi dall’uso di una mappa dettagliata che l’utente decide di condividere”.

Al punto che Angle avrebbe dichiarato a Reuters che iRobot potrebbe trovare l’accordo per vendere le sue mappe a Google, Amazon o Apple nei prossimi 2 anni.

Roomba mappe

Ore e ore a spazzare i pavimenti permettono a Roomba di registrare una mappa dettagliatissima della nostra abitazione. Nelle mani di chi potrebbe finire?

D’altra parte la compatibilità con gli ecosistemi domotici (Roomba è già in grado di dialogare con gli assistenti vocali per la smart home di Google e Amazon) sembra essere uno dei fattori di successo dell’azienda, che nell’ultimo anno ha quasi triplicato il valore delle sue azioni, passando da 35 a 102 dollari per azione.

Chissà se l’aumento di valore deriva solo dalle vendite o anche dall’intuizione che gli aspirapolvere-robot, oltre alla polvere, possano raccogliere anche un bel po’ di dati per conto dei colossi dell’IoT.

Angle, però, non sembra porsi troppi problemi per quanto riguarda la privacy e nell’intervista si dichiara sicuro che la maggior parte degli utenti acconsentirà all’uso dei dati.

La domanda, però, è legittima: in che modo verranno avvisati i clienti di questa “collaborazione” tra operatori dell’IoT? Con la solita clausoletta di due righe inserita nelle condizioni di utilizzo? E per quanto riguarda gli utenti che già utilizzano Roomba?

Visto che gli aspirapolvere in commercio hanno già la possibilità di dialogare con Internet per ricevere istruzioni da smartphone, la possibilità che comincino a spifferare informazioni sulla planimetria di casa nostra è tutt’altro che remota.

Il rischio, però, è che questo avvenga a seguito di una di quelle classiche “comunicazioni sul cambio delle condizioni di utilizzo” che ogni tanto arrivano via email (o compaiono sullo schermo dello smartphone) e che nessuno si prende mai la briga di leggere. Nell’era della “Internet of Things”, però, sarà il caso di imparare a farlo.



Articoli correlati

Altro in questa categoria