Alcuni utenti degli smartphone con OS Android sono state vittime di un Trojan che, pur non essendo particolarmente complesso, rappresenta forse il primo attacco ai clienti dei telefonini Google.
A scoprire il malware Kaspersky Lab, che l’ha rinominato Trojan-SMS.AndroidOS.FakePlayer.a .
Secondo le prime analisi si tratta di un un malware, anche se con qualche elemento intelligente, evidentemente semplice e amatoriale : conterrebbe addirittura al suo interno molte similitudini con il tutorial “HelloWorld” messo a disposizione degli aspiranti sviluppatori da Google . Rappresenterebbe, tuttavia, il primo trojan a colpire specificatamente Android.
In pratica, il malware è camuffato in un’app funzionante come Lettore Video . Quando viene avviata per questo, viene anche innescato l’evento onCreate al suo interno: questo controlla il database SQLite per vedere se una stringa vi era stata precedentemente scritta e in caso positivo non ripeterà ulteriormente l’attacco (mantenendo in questo modo un profilo basso). In caso contrario avvierà l’offensiva che consisterà nell’inviare un SMS a un servizio a pagamento russo, mostrando intanto all’utente un messaggio in cirillico traducibile con “Aspetta, accesso alla libreria video in corso”.
L’attacco che punta ad inviare SMS a servizi a pagamento è uno dei più diffusi sui dispositivi mobile: il primo sembrerebbe risalire al 2004.
La lingua del messaggio ed il fatto che vittime, dato che il numero è russo e in caso di utilizzo all’estero necessiterebbero un prefisso, mostrano chiaramente che si tratta di un trojan sviluppato per la Russia . Ma secondo gli osservatori è un metodo, non troppo invasivo (l’applicazione continuerebbe a funzionare normalmente dopo il primo utilizzo) né complesso, che potrebbe avere in futuro diffusione.
Il fatto che si tratti semplicemente di una funzionalità (destinata oltretutto agli utenti russi di Android che sono meno dell’un per cento) nascosta di un applicazione, oltretutto non disponibile su Android Market , cui devono essere riconosciuti dagli utenti anche i permessi per accedere, per esempio, alla possibilità di inviare SMS , scarica praticamente da tutte le responsabilità Google. Che potrà fare in futuro esperienza della lezione così appresa. In particolare sulla difficoltà per gli utenti a distinguere le applicazioni sicure e quelle meno.
Intanto, l’azienda di sicurezza britannica MWR InfoSecurity avrebbe individuato una vulnerabilità nel browser di Android nelle versioni dalla 1.6 alla 2.1 (e, in seguito all’indicazione a Google, rimossa nella versione 2.2 Froyo), che permetterebbe l’accesso remoto alla cronologia (compresi cookies e, conseguentemente, password e username) dell’utente attraverso un codice corrotto di una pagina visitata o una rete WiFi non sicura.
Un altro attacco cui potrebbe essere vittime gli utenti dei dispositivi con touch screen è quello – originale – basato sull’ analisi delle impronte lasciate sullo schermo la cui ricostruzione potrebbe permettere di risalire alle password utilizzate : esperimenti per dimostrare la possibilità di questo tipo di attacco sono stati condotti su due modelli Android (ma certo non è limitato ad essi) da alcuni ricercatori .
Claudio Tamburrino
Ti potrebbe interessare
12 ago 2010