Ecco il primo malware per Android che sfrutta i messaggi Toast


È stato battezzato ToastAmigo e utilizza una tecnica di attacco individuata lo scorso settembre. La versione più recente di Android è immune.

Il copione è sempre lo stesso: i ricercatori scoprono la vulnerabilità, gli sviluppatori pubblicano la patch e poi arrivano i pirati che sfruttano il bug per colpire gli utenti che non hanno eseguito gli aggiornamenti.

Questa volta la filiera del cyber-crimine coinvolge Android e la vulnerabilità legata ai cosiddetti messaggi Toast, gli avvisi che compaiono in sovrimpressione sullo schermo e che possono essere sfruttati per indurre gli utenti a premere comandi “nascosti” ingannandoli attraverso la sovrapposizione di finte schermate.

La tecnica di attacco, che abbiamo spiegato nel dettaglio in questo articolo, consente in pratica ai pirati informatici di ottenere per le loro app una serie di permessi che, normalmente, gli utilizzatori si guarderebbero bene dal dare, come l’accesso ai contatti, la possibilità di inviare SMS e simili. In altri casi, come in quello di ToastAmigo, la tecnica viene utilizzata per coprire l’attività del malware.

Come si legge nel report pubblicato da Trend Micro, ToastAmigo è stato diffuso attraverso due app pubblicate su Google Play, entrambe con il nome di Smart AppLocker. Ironicamente, le app dovrebbero rappresentare uno strumento per proteggere la privacy degli utenti consentendo di proteggere con un PIN le applicazioni più sensibili.

In realtà il loro scopo è ben altro. Una volta installato sul dispositivo, ToastAmigo chiede per prima cosa il permesso di accedere alle funzioni di accessibilità di Android, una tecnica utilizzata anche da altri malware per ottenere i privilegi di amministratore.

Poi utilizza un messaggio Toast visualizzato a tutto schermo per coprire le sue attività. Mentre l’utente vede un processo di avanzamento, in realtà ToastAmigo sta effettuando una serie di azioni che gli consentono di bloccare le app di sicurezza installate sul dispositivo e sfrutta le funzioni di accessibilità per installare un APK che scarica da Internet, anch’esso con permessi per le funzioni di accessibilità.

ToastAmigo

A sinistra quello che vede l’utilizzatore del dispositivo, a destra ciò che accade davvero.

L’APK scaricato contiene un ulteriore malware, che i ricercatori di Trend Micro hanno battezzato con il nome di AmigoClicker. Viene installato come com.photos.android.helper e non compare nel launcher, ma solo nella lista delle app che hanno i permessi per le funzioni di accessibilità.

La sua funzione principale è quella di garantire profitti ai pirati informatici attraverso clic automatici su pubblicità all’interno di Facebook, ma agisce anche come un classico trojan, permettendo ai cyber-criminali di compiere operazioni a distanza come bloccare i software di sicurezza, eseguire ricerche su Google Play o registrare l’account Google della vittima.

Le caratteristiche di ToastAmigo gli permettono di colpire tutte le versioni di Android fino alla 8.0 (Oreo), nella quale Google ha introdotto un aggiornamento specifico che risolve i problemi legati alla gestione dei messaggi Toast. Il consiglio, piuttosto scontato, è quindi di aggiornare il sistema all’ultima versione.



Articoli correlati

Altro in questa categoria


EavesDropper: a rischio messaggi e conversazioni sulla piattaforma Twilio


La vulnerabilità consente di accedere alla piattaforma che gestisce le comunicazioni di centinaia di app per Android e iOS. Ma non è colpa di Twilio…

Una falla di sicurezza terribilmente banale mette a rischio la riservatezza delle comunicazioni di tutte quelle aziende che usano app mobile basate sulla piattaforma Twilio.

Twilio è una piattaforma cloud su cui si appoggiano numerosi sviluppatori per consentire di effettuare telefonate e inviare SMS o messaggi di testo nelle loro app.

Come hanno scoperto i ricercatori di Apptrhority, però, la maggior parte degli sviluppatori che sfruttano Twilio hanno commesso un errore imperdonabile: incorporare le credenziali di accesso alla piattaforma nel codice delle loro app.

Risultato: chiunque analizza il codice dell’applicazione può estrarre user name e password che consentono di accedere all’account dello sviluppatore e di conseguenza al database, da cui è possibile sottrarre messaggi, metadati delle chiamate e anche intere conversazioni di tutti gli utenti che usano l’app.

Dal punto di vista della privacy è un vero disastro. La maggior parte delle app in questione sono infatti utilizzate in ambito business ed è quindi probabile che in quei messaggi e in quelle conversazioni ci siano informazioni riservate, dati sulle trattative in corso e chissà cos’altro.

EavesDropper Twilio

Le credenziali (qui offuscate) sono in bella vista all’interno del codice delle app. Una volta individuate, un cyber-criminale può accedere a tutto il materiale trasmesso.

La vulnerabilità, battezzata dai ricercatori con il nome di EavesDropper, può essere sfruttata con una semplicità disarmante. Come spiegano nel loro report, una volta individuata un’app che usa la piattaforma è sufficiente eseguire una ricerca con la stringa “twilio” all’interno del codice.

Appthority ha individuato la vulnerabilità in aprile e ha contattato Twilio in luglio, segnalando la presenza di 685 app (il 44% per Android e il 56% per iOS) vulnerabili all’attacco. Ancora alla fine di agosto, però, su Google Play ce n’erano ancora 75 e su App Store ben 102.

Risolvere il problema non sarà facile. Non si tratta infatti di un problema nella piattaforma, ma della classica sciatteria di programmatori che non considerano la sicurezza come una priorità.

Twilio, in un comunicato, ha specificato che la pratica di inserire le credenziali senza protezione all’interno delle app è fortemente sconsigliata nella documentazione che viene fornita agli utenti e c’è da scommettere che nelle prossime versioni quella parte sarà evidenziata in rosso e sottolineata.

Visto che la vulnerabilità sarebbe presente fin dal 2011, però, è impossibile sapere se qualcuno ne abbia già approfittato.



Articoli correlati

Altro in questa categoria


Attenzione alla truffa di Movie Maker


Sul Web è comparsa una versione “farlocca” del software di montaggio video. I truffatori cercano di scucire denaro a chi lo installa.

Lo scorso gennaio Microsoft ha smesso di distribuire il suo software gratuito di editing video Movie Maker sostituendolo con l’inguardabile Story Remix e lasciando milioni di utenti senza uno strumento che (con tutti i suoi limiti) permette di elaborare facilmente i video su PC.

Alla delusione degli utenti Windows, però, adesso si aggiunge la beffa. Come segnalato da ESET, infatti, migliaia di persone stanno cadendo nella trappola di un gruppo di truffatori che propongono un “clone” del popolare software.

Il programma è esattamente quello che eravamo abituati a trovare in Windows, ma con qualche piccola differenza. In particolare funziona come una classica versione di prova, con alcune funzioni disattivate (tra cui il salvataggio dei file) per la cui attivazione viene chiesto il pagamento di 29,95 dollari.

truffa Movie Maker

Sembra tutto normale, ma il software proposto è in realtà una versione pirata dell’originale. E per giunta proposta a pagamento.

Non si tratta di una truffa particolarmente originale, ma la diffusione del software negli ultimi giorni ha raggiunto picchi spaventosi e la colpa è tutta… di Google!

Da quando Microsoft ha “ritirato” Movie Maker, infatti, il sito che offre il programma è riuscito a scalare le classifiche nell’indicizzazione di Google e compare al primo posto quando si esegue la ricerca con il nome del software.

truffa Movie Maker

La scelta del domino e il fatto che il programma è sparito dai siti ufficiali di Microsoft sono i fattori che hanno permesso ai truffatori di posizionarsi in testa ai risultati quando si cerca Movie Maker.

La diffusione del software, che ESET ha battezzato come Win32/Hoax.MovieMaker, è di conseguenza schizzata alle stelle e a inizio di novembre era tra le tre minacce più rilevate al mondo (addirittura primo in Israele) e in Italia è arrivato a rappresentare il 9% dei software pericolosi individuati dalla società di sicurezza.

Fortunatamente il clone di Movie Maker non è un vero e proprio malware (almeno per il momento) e si limita a visualizzare in maniera ossessiva il messaggio che ne propone l’acquisto.



Articoli correlati

Altro in questa categoria


La CIA nelle sue operazioni faceva finta di essere… Kaspersky!


Nuove rivelazioni di WikiLeaks. Nel codice di un tool della CIA c’è un falso certificato digitale a nome dell’azienda russa.

Le schermaglie tra il governo USA e la società di sicurezza di Eugene Kaspersky non sembrano essere destinate a fermarsi. Anche perché più passa il tempo, più si ha la sensazione che dalle parti di Washington abbiano preso gusto a fare dispetti alla società di sicurezza russa.

L’ultimo emerge con la prima pubblicazione della serie Vault 8 di WikiLeaks, cioè la “fase due” delle rivelazioni che il sito di Julian Assange dedica agli strumenti di hacking utilizzati dalla CIA.

Terminata la serie di leak denominati Vault 7, che ha riguardato esclusivamente la documentazione relativa agli strumenti informatici usati dagli 007 statunitensi, ora l’organizzazione di Assange è passata alla pubblicazione del codice sorgente dei tool, che stando a quanto si legge sulle pagine del sito non conteranno comunque exploit o codice che possa rappresentare un “assist” per i cyber-criminali.

La prima uscita del nuovo corso riguarda HIVE, il sistema di server “nascosti” che la Central Intelligence Agency utilizza per far passare inosservate le comunicazioni dai computer compromessi ai server Command and Control.

All’interno del codice, però, sono stati trovati anche alcuni certificati digitali falsi, usati per l’installazione degli “impianti” (così gli agenti americani definiscono i loro malware) sui computer presi di mira nelle loro operazioni.

E qui arriva la sorpresa: tra le tante possibili società che avrebbero potuto scegliere per camuffare l’origine dei loro software, gli sviluppatori della CIA hanno scelto proprio Kaspersky.

CIA Kaspersky

Il certificato risulta essere stato rilasciato da Thawte Premium Server CA, Cape Town. Peccato che sia falso e che il malware che lo utilizza non c’entri nulla con Kaspersky.

Dopo il polverone sollevato nei mesi scorsi dal governo statunitense si scopre quindi che è tutto vero: c’è qualcuno che usa l’antivirus Kaspersky come paravento per operazioni di spionaggio. Solo che a farlo non sono i servizi segreti russi, ma la CIA.

Eugene Kaspersky, per il momento, sulla vicenda ha rilasciato solo un laconico commento: “Abbiamo investigato riguardo le rivelazioni contenute nel rapporto Vault 8 e possiamo confermare che i certificati a nostro nome sono falsi. Le nostre chiavi private, servizi e clienti sono al sicuro e non hanno subito alcuna compromissione”.



Articoli correlati

Altro in questa categoria


Nuove polemiche sul sistema Management Engine di Intel


Dentro il controller ci sarebbe una versione modificata del sistema operativo Minix. Google “mette a rischio la sicurezza”.

La tempesta sui processori Intel dedicati al mondo professionale non accenna a placarsi. Anzi, sembra essere decisamente aumentata d’intensità.

Ad alimentare le polemiche ora ci si è messa Google con una rivelazione che apre scenari imprevedibili: il famoso controller Management Engine (ME) sarebbe gestito da una versione modificata di Minix, un sistema operativo basato su Unix realizzato nel 1987 nei confronti del quale Intel aveva dimostrato interesse anni fa.

Andiamo con ordine: ME è un controller che Intel ha introdotto nel 2008 nei suoi processori di fascia alta e che consente agli amministratori IT di monitorare e gestire a distanza le macchine.

Intel Management Engine

Nei nuovi processori Intel, il Management Engine ha accesso a praticamente tutti i componenti del PC.

Il problema, però, è che quello che accade in ME è assolutamente “blindato” e a partire dall’anno scorso i ricercatori di sicurezza hanno cominciato a segnalare il rischio che potesse trasformarsi in un formidabile strumento per aggirare i sistemi di sicurezza.

Il primo allarme è stato segnalato una prima volta l’anno scorso, ma i problemi si sono susseguiti. Al punto che la notizia comparsa questa estate dell’esistenza di un metodo per disattivare ME è stata salutata da molti come una benedizione.

Il vero “botto” però potrebbe arrivare a dicembre, quando Positive Technologies dovrebbe presentare una tecnica di attacco che prende di mira proprio ME e può essere portata utilizzando come vettore una semplice chiavetta USB.

Ora si scopre che dentro ME c’è un intero sistema operativo derivato da Minix di cui nessuno sa nulla. Secondo i ricercatori Google, la presenza di un sistema operativo separato e completamente “chiuso” rappresenta un rischio enorme per la sicurezza. Soprattutto perché stiamo parlando di un livello di attività (quello che viene definito ring -3) che è praticamente invisibile per l’utente.

Google, per bocca del suo ricercatore Ron Minnich, ha messo alla sbarra ME esponendo tutti i potenziali problemi di sicurezza legati alla presenza di un sistema nascosto che può gestire connessioni di rete (anche usando un Web Server integrato), funzionalità di sicurezza e qualsiasi altro aspetto del funzionamento di un server.

Per il momento, però, la sorpresa maggiore l’ha avuta l’ideatore di Minix OS, il professore universitario Andrew S. Tanenbaum. Come spiega in una lettera aperta a Intel ha scoperto solo ora che il suo sistema operativo è probabilmente il più utilizzato al mondo. Peccato che nessuno dalle parti di Intel si sia degnato di dirglielo.



Articoli correlati

Altro in questa categoria


Amazon corre ai ripari per bloccare le violazioni di dati sul cloud


L’azienda ha introdotto nuove funzioni e un avviso all’interno del sistema di controllo che segnala quando il Bucket è accessibile dall’esterno.

La novità può sembrare una minuzia, ma testimonia il livello di esasperazione a cui devono essere arrivati dalle parti di Amazon nel verificare le continue intrusioni sui loro sistemi.

Esasperazione dovuta al fatto che gli utenti che usano i loro servizi cloud sembrano proprio non essere in grado di configurare correttamente il servizio.

A testimoniarlo sono gli episodi di cronaca, che registrano continui “incidenti” che seguono sempre lo stesso copione: database o servizi lasciasti esposti su Internet e accessibili a chiunque senza autenticazione. Stando a dati forniti da Skyhigh Networks lo scorso settembre, si starebbe parlando del 7% del totale.

Ora che alcune società di sicurezza hanno lanciato l’allarme sulla possibilità che in situazioni simili i Bucket possano essere usati come strumenti per diffondere malware o violare i siti Web, dalle parti di Amazon hanno deciso di correre ai ripari.

Amazon Bucket

L’avviso è decisamente visibile e bisogna impegnarsi parecchio per ignorarlo. Scommettiamo che qualcuno ci riuscirà comunque?

***foto***L’avviso è decisamente visibile e bisogna impegnarsi parecchio per ignorarlo. Scommettiamo che qualcuno ci riuscirà comunque?

Il primo passo è stato quello di predisporre un avviso (decisamente visibile) che segnala la incorretta configurazione e la possibilità che i dati siano accessibili dall’esterno.

Amazon, però, è andata oltre e ha anche introdotto una funzione di crittografia dei dati. Purtroppo nonostante il nome (Default Encryption) non è attiva per impostazione predefinita.

Nel prossimo futuro vedremo se gli accorgimenti saranno sufficienti per evitare che si ripetano episodi come quelli a cui abbiamo assistito in passato.

Anche perché sul Web stanno spuntando come funghi software che consentono di scansire la rete alla ricerca dei Bucket esposti e la possibilità di “leak” aumenta esponenzialmente.



Articoli correlati

Altro in questa categoria