Un trojan pericoloso si nasconde in un firmware Android ufficiale

28 settembre 2015

Di solito per infettare smartphone e tablet Android i criminali fanno ricorso a metodi piuttosto banali: impiegando diversi trucchi del social engineering costringono con inganno le vittime a installare una o altra applicazione malevola. Questo metodo però non è l'unico che venga impiegato dagli hacker. Così gli specialisti Doctor Web continuano a segnalare casi in cui i trojan Android sono preinstallati sui dispositivi mobili come applicazioni di sistema e svolgono attività nocive all'insaputa degli utenti. Un successivo tale caso è stato individuato di recente dai nostri analisti dei virus, il "protagonista" è un backdoor denominato l'Android.Backdoor.114.origin.

L'applicazione malevola Android.Backdoor.114.origin è già conosciuta dagli specialisti Doctor Web che più di un anno fa hanno segnalato i primi casi dell'utilizzo di questo programma dai criminali informatici e da allora questo trojan più di una volta è stato un vero fastidio per gli utenti. Questo backdoor viene introdotto da criminali non identificati direttamente nei firmware di dispositivi mobili e di conseguenza funziona come un applicazione di sistema. Come risultato, è praticamente impossibile rimuovere il trojan con i metodi standard: l'utente deve avere privilegi di root che non è sempre possibile ottenere e spesso è persino pericoloso, o deve installare un'immagine "pulita" affidabile del sistema operativo che comporta la perdita di tutte le informazioni disponibili non copiate in backup.

ОA metà settembre gli analisti dei virus Doctor Web sono venuti a conoscenza di un successivo caso dell'infezione di dispositivi mobili dal trojan Android.Backdoor.114.origin. In particolare, le nuove vittime del backdoor sono stati i proprietari dei tablet Android Oysters T104 HVi 3G su cui il programma malevolo si nasconde in un'applicazione preinstallata che ha il nome di GoogleQuickSearchBox.apk. Il produttore di questo modello è stato avvisato circa la presenza del problema però al momento della pubblicazione di quest'articolo il firmware ufficiale disponibile per il download non è stato modificato in nessun modo e contiene ancora il backdoor.

L'Android.Backdoor.114.origin raccoglie e manda sul server di gestione una vasta gamma delle informazioni su dispositivo infetto. A seconda della versione, può trasmettere ai malintenzionati le seguenti informazioni:

• identificatore unico del dispositivo;
• indirizzo MAC del trasmettitore Bluetooth;
• tipo del dispositivo infetto (smartphone o tablet);
• parametri dal file di configurazione del trojan;
• indirizzo MAC del dispositivo;
• identificatore IMSI;
• versione del programma malevolo;
• versione del sistema operativo;
• versione dell'API del sistema operativo;
• tipo di connessione di rete;
• nome del pacchetto di software del trojan;
• identificatore del paese;
• risoluzione dello schermo;
• nome del produttore del dispositivo;
• nome del dispositivo;
• quantità di spazio occupato sulla scheda SD;
• quantità di memoria disponibile sulla scheda SD;
• quantità di spazio occupato nella memoria interna del dispositivo;
• quantità disponibile di memoria interna del dispositivo;
• lista delle applicazioni installate nella directory di sistema;
• lista delle applicazioni installate dall'utente.

L'obiettivo principale dell'Android.Backdoor.114.originè di scaricare, installare e rimuovere applicazioni di nascosto su comando del server di controllo. È interessante che il trojan sia in grado di attivare la funzione di installazione di software da fonti non provate se tale funzione è inizialmente non attiva. Come risultato, anche se il proprietario del dispositivo compromesso rispetta le misure di sicurezza raccomandate, questo non lo aiuterà perché il backdoor modificherà comunque le impostazioni relative e potrà installare all'insaputa dell'utente varie applicazioni pubblicitarie, indesiderate e programmi malevoli francamente pericolosi.

Gli specialisti Doctor Web consigliano ai proprietari di smartphone e tablet SO Android di eseguire a cadenze regolari una scansione antivirus dei loro dispositivi mobili per rilevare eventuale infezione dagli applicativi nocivi conosciuti. Se viene rilevato un trojan o altro software pericoloso nel firmware dell'apparecchio, è necessario rivolgersi al produttore del dispositivo corrispondente per chiedere un aiuto nell'aggiornamento dell'immagine del sistema operativo poiché nella maggior parte dei casi non è possibile rimuovere il programma malevolo con i mezzi standard, compresi quelli antivirus.

© "Doctor Web"
2003 — 2024

Doctor Web è un’azienda russa per la sicurezza informatica, produttrice degli antivirus “Dr.Web”. I nostri prodotti, sviluppati fin dal 1992, sono capaci di soddisfare un’esigenza essenziale dell’impresa odierna — quella della sicurezza dell’informazione. Doctor Web è un’azienda all’avanguardia nel suo settore anche perché siamo uno dei pochi fornitori di antivirus nel mondo che possiedono tecnologie di rilevamento e trattamento di programmi malevoli proprie. Il sistema di protezione antivirale Dr.Web consente ai sistemi d’informazione dei nostri clienti di resistere validamente a qualsiasi minaccia informatica, persino a quelle ancora sconosciute. Doctor Web è stata la prima azienda che ha lanciato sul mercato russo il modello innovativo di distribuzione dell’antivirus come servizio e oggi è il leader incondizionato del mercato dei web service di sicurezza forniti ai venditori dei servizi IT. I programmi Dr.Web, creati da esperti programmatori russi, hanno acquistato la fiducia degli utenti in diversi paesi del mondo e hanno ricevuto molteplici premi e certificati di approvazione dello stato grazie alla loro elevata qualità.

Altre risorse:
www.drweb.com – il sito ufficiale dell'azienda "Doctor Web"
www.av-desk.com – il sito del progetto Dr.Web AV-Desk