Godless, malware per Android meno aggiornati

Godless, malware per Android meno aggiornati

Il malware può eseguire il root del terminale, installare app, essere gestito a distanza e potenzialmente prendere il controllo del device
Il malware può eseguire il root del terminale, installare app, essere gestito a distanza e potenzialmente prendere il controllo del device

I ricercatori di Trend Micro

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

hanno individuato Godless, malware Android che potrebbe diffondersi su ampia scala, visto che è in grado di attaccare tutti i dispositivi che utilizzano una versione del sistema operativo antecedente la 5.1: circa il 90 per cento dei device esistenti è a rischio infezione.

Il modo in cui Godless è stato realizzato ricorda approssimativamente un rooting framework open source chiamato android-rooting-tools . Proprio come quest’ultimo può sfruttare una serie di exploit per effettuare il root del device. Due gli exploit kit principali utilizzati dal malware: il PingPongRoot e il Towelroot .
Le modalità di azione del malware sono estremamente semplici: dopo la sua installazione attende che lo schermo venga spento e poi avvia le operazioni di rooting del device. Fatto questo, Godless è pronto per operare. Dopo aver guadagnato i privilegi di root il malware può essere gestito da remoto e può scaricare e installare in maniera assolutamente silente applicazioni sul dispositivo registrandole come applicazioni di sistema, quindi difficilmente eliminabili.

Da qui in poi nascono i problemi per l’utente. Le applicazioni installate sul dispositivo, infatti, possono essere di svariato tipo. Potrebbero, ad esempio, essere dei “semplici” adware e inondare in maniera aggressiva lo smartphone con pubblicità indesiderate, oppure potrebbero essere applicazioni ben più pericolose. Sniffer o keylogger con i quali carpire password e dati sensibili, ad esempio, ma anche applicazioni capaci di monitorare l’utilizzo del dispositivo da parte dell’utente e, magari, registrare le conversazioni ed inviarle ad un utente remoto.
Le ultime versioni di Godless si limitano a scaricare e installare un’app che implementa un client standalone per Google Play grazie al quale vengono scaricati adware e altre applicazioni “sponsorizzate” dal virus che, come azione accessoria, può anche alterare il ranking di determinate applicazioni presenti nel Google Play.
Più del 46% delle infezioni note sono state registrate in India, ma ciò non toglie che possa invadere altri paesi entro breve tempo.

Diffusione del malware Godless

Dal momento della sua scoperta ad oggi Godless è già cambiato, modificando la propria struttura e diventando in grado di bypassare i controlli di sicurezza messi in atto da molti degli app store tramite cui si diffonde, allegato a programmi apparentemente innocui.
Trend Micro, in effetti, ha trovato il codice malevolo contenuto in diverse applicazioni disponibili anche sullo stesso Google Play , così come sono state rilevate molte applicazioni che scaricate dallo store ufficiale di Google risultano assolutamente pulite, ma se scaricate da store non ufficiali contengono una copia del malware.

Difendersi da Godless non è impossibile: basta seguire le stesse regole di base che possono proteggerci da qualunque altro malware. Anzitutto, scaricare le app esclusivamente da fonti ufficiali, come il Google Play o lo store di Amazon. Poi verificare ciò che si sta scaricando facendo una piccola ricerca sull’autore dell’applicazione, Infine, utilizzare una soluzione antivirus non è una cattiva idea.

Fiore Perrone

[!] Ci sono problemi con l’autore. Controllare il mapping sull’Author Manager

fonte immagine

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 giu 2016
Link copiato negli appunti