1[1]

Malware per Android diffuso dirottando i router di casa

Vari ricercatori di sicurezza hanno pubblicato avvisi per mettere in guardia gli utenti riguardo una campagna, tutt'ora in corso, di dirottamento (hijacking) delle impostazioni DNS di router vulnerabili per reindirizzare gli utenti verso siti web contenenti malware per Android. 
 
Si tratterebbe di un attacco su piccola scala, dato che i truffatori hanno dirottato soltanto 150 indirizzi IP unici, reindirizzando gli utenti verso siti dannosi non più di 6000 volte tra Febbraio e Aprile 2018. I ricercatori non sono riusciti a ricostruire come abbiano fatto i truffatori a ottenere l'accesso ad alcuni router home e modificare quindi le impostazioni DNS, ma hanno almeno ottenuto un campione del malware Android usato in questi attacchi: si tratta di una variante unica, chiamata Roaming Mantis, pensato appositamente per modificare le impostazioni DNS e dirottare il traffico degli utenti (ma non è affatto il primo, ne ricordiamo altri due casi: DNSChanger e OSX/MaMi per Mac). 
 
Il malware viene nascosto in cloni di Chrome e Facebook
Per questo attacco gli attaccanti reindirizzano gli utenti verso pagine che vendono app Android clone come Google Chrome (chrome.apk) e Facebook (facebook.apk). Entrambe queste app richiedevano autorizzazioni eccessive che, se concesse dall'utente ingannato, garantivano l'accesso totale degli attaccanti allo smartphone della vittima. Oppure ancora gli utenti vengono reindirizzati su pagine web compromesse dove insistenti avvisi vengono mostrati agli utenti finché l'utente non esegue il download di un falso update.
 
 
Una volta scaricato il malware mostra finestre di avviso sopra ogni altra app, mostrando il seguente avviso: "Account No.exists risks, use after certification." Quindi Mantis avvia un web server locale sul dispositivo e apre le nuove app browser per aprire false versioni del sito web di Google, chiedendo agli utenti di indicare nome e data di nascita. 


Il malware Roaming Mantis sembra essere un information stealer, cioè un malware pensato appositamente per rubare informazioni: non è risultato infatti programmato per sottrarre fondi, ma per concentrarsi sul furto di credenziali (credenziali di login, dettagli account bancario ecc..), registrazione di audio, controllo di eventuali dispositivi esterni, intercettazione SMS/MMS ecc...
 
La diffusione
Secondo i ricercatori le app compromesse erano diffuse su siti web in 5 lingue (Coreano, Cinese Tradizionale, Cinese semplificato, Giapponese, Inglese) e avrebbero colpito principalmente vittime in Corea del Sud, Giappone, India ecc... 
 
La particolarità in questo caso però non è tanto legata alla diffusione geografica di questo malware, ma a quella "tecnica": il malware in questione non è niente di spettacolare (il codice sorgente è piuttosto basilare), ma fuori dall'ordinario è il suo metodo di distribuzione, ovvero il dirottamento delle impostazioni DNS sui router domestici. Qualcosa che non si era mai visto fino ad oggi per diffondere malware per Android. L'uso dei router compromessi per la distribuzione di malware sta lentamente diventando una tendenza: sempre più spesso i router finiscono "vittime" di botnet IoT, reti Proxy e gruppi di cyber spionaggio. 
Notizie - 04/23/2018
1+28129[1]

Android: gli aggiornamenti dei vendor sono disastrosi

 abbiamo detto varie volte: Android detiene il record di infezioni malware su piattaforma mobile. E, come tutte le cose, ciò ha un perché: anzi, più di uno. Il sistema "aperto" è la possibilità di installare app da qualsiasi shop presente online (si pensi a tutti gli app store di terze parti, difficilmente controllabili dal punto di vista della sicurezza... e già sappiamo che, nonostante gli sforzi, anche Google Play non è proprio una fortezza...) già spiegano in parte la debolezza della sicurezza di Android. La maggior parte dei danni però è causata dal sistema di aggiornamento. 

 
Citiamo qui il report dei Security Research Labs, pubblicato ieri e rintracciabile, in forma completa (in inglese)  qui
 
Qualche dato...
 

Partiamo da un dato: Android conta circa 2 miliardi di dispositivi sui quali risulta installato (con tutta la responsabilità che ne consegue in termini di sicurezza e privacy). Le difficoltà di Android con le patch sono risapute: nel 2016 soltanto il 17% dei dispositivi eseguenti Android avevano installato le patch più recenti. Questo nonostante l'installazione delle patch mensili sia molto importante. Ma non è sufficiente: lo studio dei Security Research Labs rileva che il problema risiede principalmente nei vendor...
 
Le patch dei vendor...
Lo studio in oggetto rileva che la maggior parte dei fornitori di Android dimentica regolarmente di includere alcune patch, lasciando quindi il sistema vulnerabile a svariate minacce già mitigabili. La tabella sotto elenca, suddivisa per vendor, la media di aggiornamenti mancanti e la frequenza con cui queste mancanze sono state rilevate. 
 

Per Few si intende 5-9, per Many si intende 10-49, per Lots si intende oltre 50
 
Alcune note:
 
  • sono stati considerati solo modelli di smartphone che sono stati patchati da Ottobre 2017 in poi;
  • il test non comprende tutte le patch, quindi i numeri reali potrebbero essere ben più ampi;
  • alcuni smartphone sono stati inclusi più volte nel conteggio a causa della presenza di più versioni firmware differenti. 

 

Va comunque tenuto di conto che non tutte le patch sono "complete" (cioè alcune non risolvono per intero la vulnerabilità che si propongono di mitigare), il che significa che il numero di patch mancanti potrebbe essere anche più alto. 
 
Sfruttare falle di Android è ancora difficile...
In ogni caso resta piuttosto difficile eseguire exploit delle vulnerabilità di Android, perché è possibile "aggirare" i problemi riguardanti le patch aggiungendo sistemi di sicurezza aggiuntivi: si pensi al sandbox oppure agli antivirus multi livello ecc... Questo spiega, in parte, perchè i cyber criminali preferiscano spesso tecniche di ingegneria sociale per far installare app dannose, spesso provenienti da fonti non sicure, che richiedono autorizzazioni eccessive e che divengono quindi, nei fatti, il mezzo col quale degli attaccanti prendono il controllo del dispositivo. Questa è la tendenza osservata maggiormente quest'anno. 
 
Presta attenzione al livello delle patch
Più Android è popolare più fa gola ai cyber criminali. A breve per capirsi, senza un serio e regolare meccanismo di patching l'aggiunta di strumenti di sicurezza software non servirà a molto: la stessa efficacia di strumenti di sicurezza software dipende dalla sicurezza e solidità di Android, quindi, primariamente, dal numero di vulnerabilità conosciute e 0-day che lo affligge. 
Notizie - 04/23/2018
1[1]

Abbattuta EITest, rete di 52.000 server infetti usati per distribuire malware

 Alcuni ricercatori di sicurezza sono riusciti a smantellare l'infrastruttura di comando e controllo dietro EITest, un network di server compromessi usati dai cyber criminali per distribuire malware, exploit kit e truffe di supporto tecnico. EITest, considerato "il Re della distribuzione di traffico", è un sistema composto da una lunghissima serie di server compromessi sui quali cyber attaccanti sconosciuti hanno installato backdoor: tramite queste backdoor, i criminali sottraggono traffico legittimo e reindirizzano gli utenti verso pagine web dannose. 

 
Questa attività dannosa è conosciuta col nome di "traffic distribution": molti cyber criminali costruiscono tali botnet e le affittano "ai colleghi" affinché possano sfruttare il traffico per compiere le proprie attività illecite. 
 
Nata nel 2011, in affitto dal 2014
EITest è comparsa sulle scene nel tardo 2011: inizialmente però non era un sistema di distribuzione di traffico affittabile. Gli autori lo usavano principalmente per distribuire i loro exploit kit, ad esempio Glazunov, che usavano per infettare gli utenti col trojan Zaccess. 
 
Al tempo, non costituiva assolutamente un grave rischio: gli operatori di EITest infatti hanno iniziato a rivedere e rielaborare la propria infrastruttura solo nel 2013, per poi iniziare ad affittarla ad altri autori di malware nel Luglio 2014.  Secondo vari ricercatori, EITest ha iniziato a vendere il traffico dirottato da siti compromessi a 20 dollari per 1000 utenti, vendendo blocchi di traffico di una dimensione minima di 50.000 utenti. Da allora EITest è diventato un problema reale per la cyber sicurezza, venendo coinvolto nella distribuzione di innumerevoli famiglie di ransomware (vedi qui e qui), rendirizzando enormi quantità di traffico verso exploit kit famosi e famigerati come Anlger e RIG e recentemente inviando perfino numerose truffe di ingegneria sociale (falso supporto tecnico, falsi pacchetti font, falsi update ecc...). 
 
Abbattuto il dominio chiave di EITest
 

I ricercatori hanno colto la palla al balzo per risolvere questo annoso problema quando un giovane ricercatore di BrillantIT è riuscito a crackare il meccanismo tramite il quale i siti infetti si connettevano all'infrastruttura di comando e controllo. Catturato un dominio (stat-dns.com) sono riusciti quindi a dirottare l'intera operazione EITest: quel server è stato indirizzato verso un sinkhole (un server verso il quale si indirizza traffico potenzialmente dannoso impedendo così che arrivi alla destinazione originaria) in data 15 Marzo.

 
L'analisi del traffico passato dal server dirottato ha rivelato che la botnet gestiva circa 2 milioni di utenti al giorno, provenienti da oltre 52.000 siti web violati, al maggior parte dei quali erano siti WordPress. 
 
Le reazioni...
In seguito al successo dell'operazione, i gestori di EITest hanno spento i propri proxy C&C, ma non vi sono state ulteriori reazioni. Sembra ciòè che gli autori di EITest abbiamo rinunciato a riprendere il controllo della propria rete, cosa che comunque non esclude che possano costituirne una nuova. Ad oggi comunque vi sono già altre reti di distribuzione traffico alternative, come Fobos o Ngay e Seamless...
Notizie - 04/23/2018
windows7melt[1]

Microsoft, la patch per correggere Meltdown ha aperto una falla più grave

 In passato vi abbiamo spesso parlato di Meltdown (qui e qui) e della sua possibilità di accedere alla memoria della CPU rompendo l'isolamento tra questo e le applicazioni utente. Microsoft aveva messo mano al problema approntando una patch ad hoc per ciascuna versione del proprio sistema operativo. Mentre per le versioni più recenti (da Windows 8 in poi) il problema è stato risolto con successo, ad aver attirato l'attenzione è stata la versione 7, dove non solo la situazione non è stata risolta, ma è stata addirittura aggravata. Per dirla in parole povere, la patch che avrebbe dovuto mettere fine a Meltdown ha invece creato una falla ancor più critica all'interno del Sistema Operativo. L'errore sarebbe stato attribuito agli sviluppatori stessi, rei di aver inserito un bit sbagliato nelle impostazioni responsabili dell'accesso alle aree protette di memoria consentendo il libero accesso a sezioni del kernel normalmente ristrette. 


Vulnerabilità "home made" 
Come ha spiegato Ulf Frisk, esperto di sicurezza, la vulnerabilità prodotta dalla patch (assai simile negli effetti, paradosso del paradosso, a quella che si voleva risolvere) rappresenta una vera e propria scorciatoia per accedere in modo ancor più rapido ad una sezione di memoria ben più ampia che con Meltdown e permettendo inoltre di modificarne il contenuto. Volendo essere più precisi, la prima patch è stata distribuita a Gennaio e le versioni di Windows 7 che sono state colpite da questa vulnerabilità "home made" sono state la  64 bit di Windows 7 e Windows Server 2008 R2.

Fig.1

Fig. 2
Nella figura 1 possiamo vedere il dumping dei dati effettuato tramite Meltdown, nella figura 2 quello eseguito sfruttando la "nuova" vulnerabilità. La velocità di esecuzione tramite la seconda modalità è considerevolmente maggiore. 
 
Come risolvere il problema
Il problema sembra ormai essere comunque risolto grazie ai recenti aggiornamenti rilasciati a Marzo. Di fatto, possiamo dire che la segnalazione di Frisk è arrivata in concomitanza con la risoluzione stessa del problema.  A coloro che utilizzano le versioni precedentemente menzionate basterà dunque controllare di aver installato correttamente questi ultimi aggiornamenti per non essere più esposti alla minaccia. Come già specificato, non è stato registrato alcun problema per i possessori delle versioni più aggiornate di Windows ai quali, comunque, consigliamo di controllare ed installare la patch rilasciata di recente. 
Notizie - 04/09/2018
1[1]

KevDroid, il malware Android che registra le tue telefonate

 I ricercatori di sicurezza hanno individuato alcune varianti di un nuovo Trojan Android, distribuito sotto forma di applicazione antivirus, ovviamente falsa, e conosciuto con il nome di "Naver Defender". La variante di cui stiamo parlando viene convenzionalmente chiamata KevDroid ed è un RAT (remote administration tool).


Questo malware è un stato programmato per impadronirsi di informazioni sensibili dai dispositivi compromessi e, come se non bastasse, sembra essere in grado di registrare le chiamate telefoniche. Esistono due varianti di KevDroid, un numero importante se si considera che il Trojan "madre" è stato rilevato solo due settimane fa. 

Che cosa fa? 
Entrambe le versioni hanno, bene o male, le stesse funzioni, ma differiscono nella maniera in cui si diffondono. Ad esempio una delle varianti usa l'exploit per Android, già conosciuto, CVE-2015-3636 per ottenere l'accesso root sul dispositivo compromesso. I dati sottratti vengono inviati, da tutte e due le varianti, ad un server unico di command e control usando un HTTP POST.  Per quanto riguarda le attività dannose, KevDroid:
  • registra telefonate e audio;
  • rubare cronologia web e file;
  • ottenere l'accesso come root;
  • rubare registri delle chiamate, SMS, e-mail;
  • raccogliere la posizione del dispositivo ogni 10 secondi;
  • raccogliere un elenco di applicazioni installate. 
Per registrare le chiamate in entrata e in uscita dal dispositivo compromesso, il malware si serve di una libreria opensource disponibile su GitHub. 

 
Le conseguenze dell'attacco
Se l'attacco ha esito positivo, il furto di informazioni può portare ad episodi spiacevoli quali  il ricatto attraverso immagini o informazioni "imbarazzanti o scottanti", raccolta di credenziali necessarie all'accesso sulle piattaforme di e-banking e di posta elettronica con conseguente furto di denaro, intercettazione del pin utile per l'autenticazione a due fattori, utilizzo della rubrica della vittima per diffondere ulteriori truffe ecc.... Tutti rischi derivanti dall'abitudine che quasi tutti ormai abbiamo di svolgere sempre più operazioni utilizzando lo smartphone.

Uno scenario simile ad un episodio della serie televisiva "Black Mirror"? Probabilmente le conseguenze ipotizzate dai ricercatori coreani ci si avvicinano molto, ciò che è chiaro è che le potenzialità di KevDroid fanno pensare ad un potenziale attacco spionistico. I ricercatori hanno anche scoperto un altro RAT, progettato per gli utenti Windows, condividere lo stesso server C & C e utilizzare anche l'API PubNub per inviare comandi ai dispositivi compromessi. 
 
Come proteggersi
Dal momento che tale malware può essere utilizzato anche per colpire i tuoi dispositivi, ecco alcuni consigli per proteggere il proprio device ed evitare situazioni spiacevoli: 
  • Non installare mai applicazioni da store di terze parti.
  • Assicurati di aver già scelto Google Play Protect.
  • Abilita la funzione 'verifica app' dalle impostazioni.
  • Mantieni "fonti sconosciute" disabilitate quando non ne hai bisogno. 
  • Installa software antivirus e di sicurezza da fornitore di sicurezza informatica noto.
  • Effettua regolarmente il backup del tuo telefono.
  • Utilizzare sempre un'applicazione di crittografia per proteggere qualsiasi informazione sensibile sul telefono.
  • Non aprire mai documenti inaspettati, anche se sembra che provengano da qualcuno che conosci.
  • Proteggi i tuoi dispositivi con blocco pin o password in modo che nessuno possa ottenere l'accesso non autorizzato al tuo dispositivo quando rimane incustodito.
  • Mantieni il tuo dispositivo sempre aggiornato con le ultime patch di sicurezza
Notizie - 04/09/2018
4-malware[1]

In diffusione le ultime due versioni, System e Mole66, del ransomware Cryptomix

 In diffusione le ultime due versioni System e Mole66 del ransomware Cryptomix 

ue nuove versioni del ransomware Cryptomix

Sono state scoperte altre due varianti del Ransomware Cryptomix, denominate System e Mole66. Per il momento i due ransomware sono stati analizzati solo superficialmente, dunque verranno fornite ulteriori informazioni a riguardo non appena questa verranno scoperte. Inoltre, per adesso non c'è la possibilità di decifrare nessuno dei due ransomware gratuitamente. Vediamo dunque
insieme di cosa si tratta e quali sono le tecniche più efficaci per proteggersi.
 

Novità del ransomware Cryptomix System

La prima variante di Cryptomix, è stata scoperta proprio questa settimana da Michael Gillespie. Questa aggiunge l'estensione .SYSTEM ai file crittografati. La prima importante modifica di questa variante rispetto alle precedenti riguarda sicuramente l'ambito del riscatto: infatti utilizza differenti indirizzi e-mail per contattare la vittima riguardo, appunto, il pagamento del riscatto. Gli indirizzi sono:
  • systemwall@keemail.me,
  • systemwall@protonmail.com,
  • systemwall@yandex.com,
  • systemwall1@yandex.com
  • emily.w@dr.com.
La richiesta di riscatto, invece, si chiama _HELP_INSTRUCTION.TXT anche in questa versione e anche i metodi di crittografia restano gli stessi. Inoltre, in questo caso si ha l'estensione aggiunta ai file crittografati.

 
Questo un file viene criptato dal ransomware, ne modifica l'estensione aggiungendovi .SYSTEM. Facciamo un esempio: un file crittografato dalla variante System subisce la modifica del nome e dell'estensione secondo lo schema 0D0A516824060636C21EC8BC280FEA12.SYSTEM. 

 

 
Indicatori di compromissione:
  • File associati con la variante Cryptomix del Server:
  • E-mail associate con il Ransomware del Server:

Novità del ransomware Cryptomix Mole66

La seconda variante che vogliamo analizzare oggi, denominata Mole66, è stata invece scoperta da MalwareHunterTeam. Questa versione aggiunge l'estensione .MOLE66 ai file crittografati, ha cambiato le email di contatto e il nome della richiesta di riscatto. Come nel caso precedentemente analizzato, il nome della richiesta di riscatto è stato modificato in _HELP_INSTRUCTIONS_.TXT, mentre i meccanismi di criptazione sono rimasti invariati rispetto alle precedenti versioni.


Per contattare la vittima riguardo il pagamento del riscatto, viene invece utilizzato l'indirizzo e-mail alpha2018a@aol.com. La criptazione è uguale, nel meccanismo, a quella di altre versioni di Cryptomix, ma questa variante modifica l'estensione in .MOLE66. 


Per esempio, un file di prova crittografato da tale variante ha un nome file crittografato del tipo 0D0A516824060636C21EC8BC280FEA12.MOLE66.


Indicatori di compromissione:

  • File associati con la variante MOLE66 Cryptomix:
  • E-mail associate con il Ransomware del Server:

Buone abitudini per proteggersi dai ransomware System e Mole66

Qualche consiglio per difendersi dai ransomware: innanzitutto, sarebbe buona regola avere sempre un backup, affidabile e testato, dei propri dati da ripristinare in caso di emergenza. Oltre a ciò, per difendersi da potenziali violazioni, sarebbe opportuno seguire una serie di accorgimenti:
  • Non aprire allegati provenienti da mittenti sconosciuti.
  • Evitare di aprire gli allegati fino a che l’identità del mittente non viene confermata.
  • Eseguire la scansione degli allegati.
  • Assicurarsi di eseguire gli aggiornamenti di Windows non appena vengono resi disponibili. Lo stesso vale per tutti gli altri tipi di programmi ed in particolare per Java, Flash ed Adobe Reader. I programmi più datati presentano infatti maggiori vulnerabilità rispetto a quelli aggiornati in tempi recenti, diventando così una facile preda per i cyber criminali.
  • Assicurarsi di aver installato un software di sicurezza con protezione multi-livello.
  • Utilizzare password più complesse ed evitare di impostare la stessa su siti o servizi diversi.
 
Notizie - 04/09/2018
1607-1[1]

Campagna di spam contro utenti in cerca/offerta di lavoro: in distribuzione il ransomware Sigma

 

Un'analisi approfondita della nuova campagna di distribuzione malware con file .URL


MARTEDÌ 20 MARZO 2018 - 15:20

La scorsa settimana abbiamo scritto riguardo l'emergenza di un nuovo vettore di attacco, i file .url, usati per diffondere malware (l'articolo si trova qui). In questo articolo analizziamo più nel dettaglio la catena di attacco che sfrutta i .url come vettore e il malware Quant Loader. Diamo uno sguardo alla sottostante catena di attacco, che descrive la sequenza di esecuzione osservata in questo attacco.
 
 
La foto sottostante riepiloga l'intero processo:
 
 
Come spiegato, solitamente un file .url contiene URL (in http o https): in questo caso, al contrario, abbiamo notato l'accesso alle condivisioni SMB per eseguire Javascript dannoso. 
 
 
Il file sopra si riferisce alla vulnerabilità CVE-2016-3353, nella quale Internet Explorer mal gestisce il file .url e consente l'accesso da remoto agli attaccanti che possono così bypassare le restrizioni di accesso previste. 
 
Queste condivisioni SMB sono pubblicamente accessibili, anche senza autenticazione. Le figure sotto mostrano la posizione della condivisione SMB "buyviagraoverthecounterusabb [.] Net / documents /": è qui che sono ospitati i Jascript dannosi. L'indirizzo IP di questa condivisione dannosa è "91.102.153.90".
 
 
 
 
Il Javascript in questione viene distribuito alla vittime attraverso il protocollo SMB. Una volta aperto il Javascript dannoso, questo apre l'applicazione "wscript.exe". 
 
 
Il secondo malware viene scaricato, senza che l'utente ne sia a conoscenza, dal Javascript dannoso stesso quando la vittima fa clic su "Open". Questo Javascript è altamente offuscato e serve solo come "first stage downloader". 
 
Il secondo malware viene scaricato nella cartella %TEMP% dal Javascript dannoso e attivato attraverso "cmd.exe". Questo è un eseguibile pesantemente offuscato che viene eseguito direttamente nella memoria. E' una variante di Quant Loader e può essere usato per scaricare altri malware. Al momento della nostra analisi, non abbiamo però rilevato altri malware scaricati da Quant Loader. 
 
Vediamo nel dettaglio come funziona Quant Loader. 
Questo malware controlla per prima cosa le impostazioni linguistiche della tastiera e del sistema: non si attiva se riscontra le lingue russo, ucraino e kazako. 
 
 
Usa  la seguente chiave di registro per identificare la configurazione a 32 o 64 bit del sistema della vittima: quindi usa le stesse informazioni come parte della richiesta di ulteriori comandi che invia al server C&C.
 
HKLM\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion  ProgramFilesDir (x86)
 
Verifica anche la presenza delle seguenti voci di registro: 
 
 
Crea anche una copia di se stesso chiamata "dwm.exe" nella cartella \ e lo imposta per l'esecuzione automatica tramite la voce "Run" nel registro: ottiene così la persistenza sul sistema. 
 
 
Gli 8 numeri sono usati come idendificativo del bot (BotId), mentre il malware comunica col server C&C. Quindi modifica le autorizzazioni di accesso dell'utente alla cartella e al file dwm.exe in modalità di sola lettura: ciò impedisce all'utente di eliminare o modificare la cartella "dwm.exe".  Inoltre inserisce una regola aggiuntiva nel Firewall, garantendo così che le comunicazioni del malware su Internet possano scavalcare le regole di Firewall. 
 
Al momento dell'analisi, il server C&C non ha risposto: tuttavia l'analisi statica fornisce alcune informazioni sulla probabile comunicazione tra il server e le altre funzionalità di Quant Loader. In caso di risposta, il server C&C fa eseguire il download di altri file, solitamente librerie, ma anche malware, quindi fornisce i comandi per eseguirli. 
 
L'attacco con vettore .URL viene attualmente usato da Quant Loader. Ci aspettiamo però l'uso di questo nuovo vettore di attacco anche da parte di altre famiglie di malware nei giorni a venire. 
 
Notizie - 04/04/2018
2rottensys[1]

Il trojan RottenSys ha infettato 5 milioni di smartphone Android

 Il trojan RottenSys ha infettato 5 milioni di smartphone Android

 
 
RottenSys è un trojan che, per ora, si è limitato a visualizzare insistentemente pubblicità sui dispositivi Android compromessi. E' assai diffuso in Cina, ma non solo, e pare stia iniziando a puntare anche all'Europa: sicuramente è stato individuato su dispositivi Huawei, Xiaomi, OPPO, vivo, LeEco, Coolpad e GIONEE. Ma la notizia non è questa: la notizia è che il malware è stato individuato in quasi 5 milioni di dispositivi e che a brevissimo subirà l'implementazione di un ulteriore modulo che ne aumenterà la capacità di azione sui dispositivi infetti. 
 
Che cosa fa?
Il trojan è in circolazione dal 2016 e da tempo si sospetta che venga preinstallato (almeno da alcune marche) ancora prima di essere messo in vendita nei negozi. Si presenta come un servizio Wi-Fi, ma, al momento dell'installazione, richiede una serie di permessi che, se concessi, garantiscono a RottenSys una quasi totale libertà di azione, compresa la possibilità di scaricare ed eseguire ulteriore codice. Come detto, fino ad ora si è però limitato a mostrare insistentemente pubblicità.
 
Perchè è così diffuso?
Il successo nella diffusione di RottenSys è dovuto a due caratteristiche particolari riscontrate nel suo codice. Il malware usa due progetti open source disponibili su GitHub: uno è Small, un "application virtualization framework"; l'altro è MarsDaemon, una libreria che rende "immortali" le app.

Per prima cosa RottenSys usa Small per creare contenitori virtuali per i propri componenti interni, cosa che gli consente di eseguire i componenti in parallelo e in contemporanea (modalità che non è nativamente supportata dal SO Android) e che aiuta nel processo di distribuzione dell'app. In seconda battuta RottenSys usa MarsDaemon per mantenere attivi i processi, anche nel caso in cui l'utente tentasse di chiuderli: il trojan garantisce così che il meccanismo di iniezione non possa essere bloccato.

 
Il modulo aggiuntivo
Vari esperti di sicurezza, proprio in questi giorni, stanno notando strani movimenti provenienti dai server C&C collegati al trojan e controllati dai cyber criminali: nel dettaglio pare essere in distribuzione il modulo aggiuntivo del quale parlavamo poco sopra. Il nuovo modulo, un pericolosissimo componente botnet, è stato aggiunto solo a Febbraio 2018 ed attualmente è in distribuzione. I ricercatori affermano che il nuovo modulo consentirà a RottenSys di prendere il controllo dei dispositivi, quindi ne risulterebbe una botnet (rete di computer/dispositivi zombie, usati da attaccanti, all'insaputa dei proprietari, per lanciare svariati tipi di attacchi o avviare campagne di spam/phishing), di dimensioni enormi. Una botnet di quasi 5.000.000 di dispositivi Android che potrebbe produrre ad esempio attacchi DDoS devastanti. Non solo: il nuovo modulo renderà RottenSys in grado di scaricare app aggiuntive sui dispositivi infetti. 
Notizie - 04/04/2018
logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy