Antivirus per Android rubava informazioni dal dispositivo


È una delle app di sicurezza più popolari su Google Play. Ora il produttore ha rimosso la funzione e Google ha l’ha riammesso sullo store.

Non solo i malware: a rubare le informazioni dal nostro smartphone adesso ci si mettono anche le app antivirus. È successo nel caso di un’app per Android chiamata DU Antivirus Security, che secondo le statistiche di Google Play avrebbe tra i 5 e i 10 milioni di download.

Ad accorgersene sono stati i ricercatori di Check Point, che si sono accorti di alcune attività “sospette” da parte di DU Antivirus. Nel dettaglio, l’app copiava, crittografava e inviava a un server remoto informazioni riguardanti il dispositivo, la lista contatti e il registro delle chiamate. Tutto senza richiedere alcun permesso o mostrare una notifica all’utente.

antivirus ruba informazioni

Non solo antivirus, ma anche protezione della privacy. Certo, dopo che è stata violata già al momento dell’installazione dell’app .

***foto***Non solo antivirus, ma anche protezione della privacy. Certo, dopo che è stata violata già al momento dell’installazione dell’app

Il motivo? Le informazioni venivano memorizzate e utilizzate da un’altra app (DU Caller) dello stesso produttore. Dopo la segnalazione di Check Point, Google ha rimosso l’app e l’ha riammessa solo quando il produttore DU Group ne ha proposta una senza la funzione che “spazzolava” le informazioni personali.

Check Point ha individuato lo stesso modulo su altre 30 app. Ben 12 di queste erano presenti nel Google Store e sono state prontamente rimosse.

Per quanto riguarda DU Antivirus Security , le versioni successive alla 3.1.5 si possono considerare “pulite”, sempre che qualcuno abbia ancora voglia di affidare la sicurezza del suo dispositivo a un produttore che faceva incetta di dati personali senza chiedere il permesso.



Articoli correlati

Altro in questa categoria


L’ultima versione di CCleaner conteneva un trojan


Chi ha scaricato il software tra agosto e settembre può essere stato infettato con una backdoor. Basta l’aggiornamento di CCleaner per rimuoverla.

Non è la prima volta che un software viene utilizzato come vettore di infezione per un malware. Il caso di CCleaner, però, ha del clamoroso. Il programma per la manutenzione del PC vanta infatti 2 miliardi di download e l’impatto dell’attacco, di conseguenza, rischia di essere enorme.

A scoprire il fattaccio sono stati i ricercatori del gruppo Talos di Cisco, che lo scorso 13 settembre hanno individuato il problema e immediatamente avvisato il produttore Piriform del problema, che ha prontamente sostituito l’installer e pubblicato un avviso per i suoi utenti.

Secondo quanto ricostruito in un corposo report, il trojan sarebbe stato inserito nel file di installazione della versione 5.33.6162 (ma anche nella versione cloud 1.07.3191) creato il 15 agosto 2017. Le versioni infette, quindi, sono rimaste disponibili per i download per un intero mese.

Il malware, battezzato con il nome di Flofix, adotta una serie di tecniche per aggirare i controlli antivirus e il suo rilevamento da parte delle società di sicurezza. Tra queste, una sospensione della sua attività per 601 secondi che, nelle intenzioni dell’autore del trojan, dovrebbe evitare che i sistemi di analisi comportamentale ne rilevino l’attività.

Il trojan, inoltre, verifica quali privilegi abbia l’utente attuale e, nel caso in cui non sia amministratore del sistema, termina la sua attività.

L’azione di Flofix si sviluppa in due fasi: la prima prevede il collegamento con i server Command and Control (C&C) e l’invio di informazioni relative al computer infetto.

CCleaner trojan

Più di 2 miliardi di download complessivi e si stima che nel mese in questione CCleaner sia stato scaricato oltre 2 milioni di volte.

La seconda fase prevede il download di ulteriore codice dal server C&C, cioè il vero e proprio payload. Secondo i ricercatori, però, i pirati informatici non hanno ancora attivato la distribuzione del payload.

La buona notizia per gli oltre 2 milioni di utenti che hanno scaricato l’installer infetto è che per rimuovere la backdoor sarebbe sufficiente installare la nuova versione di CCleaner, disponibile sul sito ufficiale di Piriform.

Ma come è stato possibile che il malware sia finito dentro CCleaner? Stando a quanto riportano i ricercatori di Talos, il trojan utilizza un certificato digitale valido (a firma Symantec) che avrebbe permesso di aggirare i controlli di Windows.

Questo significa che i pirati informatici non si sono limitati a compromettere il file sui server di Piriform, ma molto probabilmente sono riusciti a introdursi nei sistemi e sottrarre il certificato utilizzato poi per avviare l’installazione di Flofix.

Un rischio confermato anche da G Data, che nella giornata di oggi ha diffuso alcune note sulla vicenda. “Il fatto che la versione infetta sia stata firmata con un certificato valido può essere un indicatore di diversi problemi di sicurezza, a partire da una vulnerabilità nel processo di firma del produttore fino a una possibile compromissione dell’organizzazione che ha rilasciato il certificato”.

Come fanno notare i ricercatori della società di sicurezza tedesca, però, non si tratta di una novità. Anche nel caso di Petya (o Not Petya) i pirati informatici hanno usato una tecnica simile, sfruttando un certificato digitale valido.



Articoli correlati

Altro in questa categoria


ExpensiveWall: 100 app su Google Play contenevano il malware


Oltre a rubare informazioni dal dispositivo, iscrive gli utenti a servizi SMS a pagamento. Il malware inserito in un kit di sviluppo.

Ennesima infornata di app infette all’interno di Google Play. Questa volta l’ospite indesiderato si chiama ExpensiveWall e, stando a quanto riportano i ricercatori di CheckPoint in questo report, sarebbe stato diffuso attraverso un kit di sviluppo finito poi tra le mani dei programmatori che lo hanno usato per realizzare le app.

Nessuna volontà di nuocere quindi dei singoli sviluppatori delle applicazioni, ma un classico “effetto domino” dovuto a una (ennesima) distribuzione di strumenti che inseriscono codice malevolo all’interno delle app.

Il risultato, in ogni caso, è che milioni di utenti hanno scaricato app infette. Secondo CheckPoint, che ha pubblicato l’elenco completo delle app e il numero stimato di download (usando i dati di Google Play) stiamo parlando di un numero compreso tra i 5 e i 20 milioni di download.

ExpensiveWall è programmato per agire seguendo una progressione di azioni ben precisa: per prima cosa chiede alcuni permessi piuttosto comuni (come la connessione a Internet che utilizza per contattare i server Command and Control gestiti dai pirati informatici) ma anche quello di poter inviare SMS.

Quest’ultimo è uno di quei permessi che dovrebbero far scattare un campanello di allarme nella testa degli utenti, ma visto che il malware è finito in un gran numero di app, tra cui molte collegate all’elaborazione di immagini che in seguito potrebbero essere inviate anche via SMS, è possibile che in alcuni casi la richiesta non sembri poi così sospetta.

L’uso che ne stanno facendo i pirati informatici è quello di iscrivere le vittime (a loro insaputa) a servizi SMS Premium, che prevedono l’invio di messaggi a pagamento. Insomma: un classico sistema per arricchirsi alle spalle degli ignari utenti.

ExpensiveWall Google Play

La sottoscrizione a servizi che mandano SMS (inutili) a pagamento è uno dei grandi classici a cui ricorrono i pirati informatici per incassare denaro con i malware per smartphone.

Visto che le app in quesitone non mostrano alcuna notifica, le vittime potranno accorgersi del problema solo quando gli arriverà la (salata) bolletta telefonica.

Il malware ruba anche alcune informazioni come la posizione e quelle che identificano il dispositivo (MAC Address, indirizzo IP, IMEI e IMSI) ma non sembra farne usi particolari, almeno per il momento. Considerate le caratteristiche di ExpensiveWall, infatti, i ricercatori non escludono che i cyber-criminali ne possano modificare il comportamento.

Ogni volta che l’app viene attivata, infatti, si connette con i server C&C per ottenere un indirizzo Internet che viene aperto in WebView, un’interfaccia che consente a un JavaScript contenuto nella pagina di interagire con le attività dell’app. Questo significa che, in pratica, i cyber-criminali possono agire con la massima libertà.

Tutte le app individuate da CheckPoint sono state rimosse da Google Play e ora i ricercatori si stanno dando da fare per trovare il modo di bloccare questo tipo di attacchi all’origine, bloccando la diffusione dei kit di sviluppo infetti prima che possano fare altri danni.



Articoli correlati

Altro in questa categoria


Vevo hackerata. I documenti online dopo un “litigio” con gli hacker


Sul Web finiscono 3,12 terabyte di dati. Il gruppo OurMine li ha pubblicati come ripicca dopo un “diverbio” con un responsabile di Vevo su Linkedin.

Prima di mandare a quel paese un hacker che sostiene di averti bucato i sistemi, è meglio verificare che non sia vero. In caso contrario, il risultato può essere un disastro. È quello che è successo a Vevo, il sito online che offre video musicali di etichette come Sony e Universal.

Vevo è rimasto vittima di un attacco da parte di OurMine, un gruppo hacker (ma la definizione in questo caso è un po’ fuorviante) ben conosciuto nel settore della sicurezza informatica e protagonista, in passato, di alcuni attacchi clamorosi.

Stando a quanto riportato da Gizmodo, che ha pubblicato per primo la notizia, OurMine avrebbe fatto breccia nei sistemi di Vevo attraverso un’email di phishing su Linkedin e sempre sul social network avrebbe contattato i responsabili del sito rivendicando l’azione e “tranquillizzando” le vittime sul fatto di non avere intenzione di divulgare il materiale ottenuto.

Dalle parti di Vevo, però, hanno reagito in maniera piuttosto scomposta, mandando in buona sostanza “a quel paese” gli hacker senza troppi complimenti.

hackerata Vevo OurMine

Quella dell’impiegato di Vevo è stata la classica reazione d’impulso a cui si cede troppo spesso su forum e messenger. Questa volta, però, un paio di respiri profondi avrebbero evitato qualche grattacapo al sito.

Pessima mossa: indispettiti dai toni usati, gli OurMine hanno immediatamente tradito i buoni propositi e hanno pubblicato su Internet i 3.12 terabyte di dati rubati dai sistemi, tra cui molto materiale di scarso interesse ma anche qualche file decisamente “sensibile”.

I documenti, però, sono poi stati rimossi e, a quanto si legge sulla pagina Web del sito di OurMine, la rimozione sarebbe dovuta semplicemente a una richiesta di Vevo.

hackerata Vevo OurMine

I file sottratti non sono rimasti online per molto. Alla prima richiesta da parte del sito, gli OurMine li hanno rimossi. Non ci voleva molto…

Il gruppo OurMine, d’altra parte, non era mai arrivato al “leak” in nessuna delle sue imprese. Come ci è capitato di spiegare anche in passato, il gruppo utilizza le intrusioni come una sorta di (discutibile) strumento di marketing per promuoversi in qualità di consulenti per la sicurezza informatica.

Di solito si limitano infatti a operazioni di defacement o di violazione di account social di personaggi di primo piano (il trofeo più pregiato è stato Mark Zuckerberg) senza però provocare troppi danni. In questo caso, però, la reazione stizzita da parte di Vevo ha portato a una vera escalation. Chissà se l’impiegato che ha innescato il tutto avrà imparato la lezione



Articoli correlati

Altro in questa categoria


Trovata una backdoor in un plugin WordPress con 200.000 installazioni


Si chiama Display Widgets ed è in circolazione da più di due mesi. Il plugin era stato già ritirato tre volte per mancato rispetto degli standard.

Cosa c’è di peggio che avere un plugin di WordPress che non funziona? Semplice: avere un plugin di WordPress con dentro una backdoor in grado di rubare le informazioni dei visitatori per trasmetterle a un server di terze parti e impestare il sito con avvisi pubblicitari.

Come racconta Bleeping Computer, è quello che è successo a molti dei 200.000 utenti WordPress che usano il plugin Display Widgets a partire dal 21 giugno di quest’anno.

Che cos’è successo in quella data? La sviluppatrice del plugin (Stephanie Wells di Strategy 11) ha smesso di occuparsene e il plugin è rimasto “vacante”. Per poco, però. Il plugin è stato infatti “rilevato” da una società specializzata in questo settore che si chiama WP Devs.

Il primo atto del nuovo proprietario è stato quello di pubblicare una nuova versione del plugin (2.6.0) che nel giro di pochi giorni è stata bannata dal repository di WordPress in seguito a una raffica di segnalazioni. Motivo? Il plugin scaricava 38 MB di codice da un server esterno. Un comportamento contrario alle linee guida di WordPress.

Il vero problema, però, riguardava il comportamento di questo codice: si trattava infatti di una sorta di backdoor che registrava indirizzi IP e altre informazioni sulla navigazione dei visitatori, inviandole a un server esterno.

backdoor plugin WordPress

Una società specializzata nell’acquisto di plugin. Peccato che le loro versioni abbiano delle aggiunte che non sempre faranno piacere agli amministratori delle pagine Web.

La vicenda, però, non termina qui. Dopo il ban dovuto alla violazione delle linee guida, compare una nuova versione del plugin (2.6.1) che non scarica codice. La sostanza però non cambia: i 38 MB con la backdoor a questo giro sono direttamente inseriti nel plugin e il suo comportamento cambia. Ma in peggio: al posto di limitarsi a rubare informazioni sui visitatori, permette di aggiungere pagine e post da remoto.

Altre lamentele e anche la versione 2.6.1 finisce nel cestino. Dopo soli 5 giorni, però, arriva una nuova versione (2.6.2) che sembra finalmente “pulita”. L’illusione però dura poco: il 23 di luglio arriva una segnalazione da parte di un utente, che accusa il plugin di creare pagine “invisibili” con collegamenti pubblicitari.

Inutile dirlo: le indagini seguenti hanno confermato le accuse e il plugin è stato cestinato per l’ennesima volta. A questo punto, chiunque altro si sarebbe arreso. Ma il nuovo autore di Display Widgets ha dimostrato di essere dotato di una certa testardaggine. Ed ecco che il 7 settembre arriva la versione 2.6.3 del plugin, che ha però dimostrato di avere lo stesso vizietto delle precedenti. Altre lamentele ed ennesimo ban.

Ora dalle parti di WordPress hanno bloccato il caricamento e creato una nuova versione (2.7.0) che, in realtà, contiene esattamente lo stesso codice della versione 2.0.5. Ora, quindi, la questione sembra essere chiusa e gli utenti che aggiorneranno all’ultima versione si libereranno di ospiti scomodi. .

Resta il problema di come controllare comportamenti come questo, che si sono già verificati in passato (di un episodio ne abbiamo scritto in questo articolo) e che in futuro potrebbero presentarsi sempre più spesso.



Articoli correlati

Altro in questa categoria


Attacco a Equifax: la vulnerabilità era vecchia di due mesi


L’agenzia statunitense non avrebbe aggiornato i sistemi dopo l’annuncio di una falla di sicurezza in Apache Struts lasciando le porte aperte ai pirati.

Come volevasi dimostrare: i pirati informatici che si sono introdotti nei sistemi di Equifax, l’agenzia che gestisce le informazioni personali di milioni di consumatori in USA, Gran Bretagna e Australia, non sono dei maghi del crimine informatico. Hanno semplicemente approfittato dell’ennesimo “buco” lasciato aperto dagli amministratori.

Con un aggiornamento sul sito www.equifaxsecurity2017.com, il portavoce dell’agenzia ha fornito maggiori dettagli sulla vicenda, spiegando che è stata individuata la causa dell’intrusione che ha portato al furto delle informazioni personali di oltre 143 milioni di persone.

L’attacco, che secondo i responsabili di Equifax si sarebbe verificato a metà maggio, avrebbe quindi sfruttato una vulnerabilità che è stata corretta a marzo. Questo significa che gli amministratori dei sistemi hanno impiegato più di due mesi per applicare una patch che era stata resa disponibile contestualmente alla pubblicazione della vulnerabilità.

La falla di sicurezza in Apache Struts (una piattaforma per Java estremamente diffusa in ambito enterprise) consentiva l’esecuzione di codice in remoto ed era stata segnalata dagli stessi sviluppatori che l’avevano catalogata come “critica”, invitando tutti gli utenti ad applicare il prima possibile gli aggiornamenti.

Equifax

Evidentemente la percezione del termine “critico” non è la stessa per tutti. Lasciare i sistemi esposti per due mesi a un attacco di questo tipo corrisponde a un invito per i cyber-criminali.

***foto***Evidentemente la percezione del termine “critico” non è la stessa per tutti. Lasciare i sistemi esposti  per due mesi a un attacco di questo tipo corrisponde a un invito per i cyber-criminali.

I pirati informatici, quindi, non hanno fatto nulla di straordinario. Come accade sempre più spesso, hanno solo letto con attenzione i report e hanno sfruttato tempestivamente l’opportunità. D’altra parte, come avevamo scritto a suo tempo, non sono stati gli unici.

Sulla base di questi presupposti, le decine di class action promosse dai consumatori nei confronti di Equifax rischiano di diventare un serio problema per l’agenzia statunitense. Se fossero confermate queste tempistiche, infatti, negare la responsabilità dell’ente diventa molto difficile.

Per le aziende italiane la vicenda può rappresentare un fulgido esempio di quello che significherà l’avvio dell’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) prevista per maggio 2018. Casi come questo, da quella data, saranno sanzionati pesantemente.



Articoli correlati

Altro in questa categoria