01[1]

Attacco ransomware obbliga la città di New Orleans al blocco di server e sistemi

La città di New Orleans sta lentamente tornando alla normalità, dopo aver subito un attacco ransomware di ampia portata che ha colpito le infrastrutture IT della municipalità costringendo allo shut down di computer, sistemi e server della città.

Kim LaGrue, Chief Information Officer di New Orleans ha fatto sapere che le prime attività sospette sono state registrate già alle 5 del mattino di Venerdì scorso. Alle 8 del mattino, quando gli impiegati hanno effettuato l’accesso ai propri pc, si è verificato un vero e proprio picco di individuazioni di attività sospette ed è iniziata immediatamente una verifica dello stato di reti e sistemi. Intorno alle 11, 11.30 circa è stato confermato, anche a mezzo stampa, che la città era sotto attacco ransomware e che i partner statali e federali erano già stati allertati. E’ stato diramato quindi l’ordine, a tutti i dipendenti, di spegnere e disconnettere i computer dal sistema pubblico del Municipio. Anche i server della città sono stati spenti. Sono rimasti attivi e funzionanti soltanto i servizi di emergenza come L’emergency Operation Center, il 911, il Dipartimento dei Vigili del Fuoco, il Dipartimento di Polizia ecc..

La nota di riscatto che non c’è
Una particolarità, confermata anche in conferenza stampa dal Sindaco di New Orleans LaToya Cantrell, è che non è stata ritrovata nessuna nota di riscatto sui sistemi infetti e non ci sono state nemmeno richieste di riscatto pervenute in forme alternative. Non è ancora chiaro se ciò sia avvenuto per precisa scelta degli attaccanti o se la nota non si sia generata in tempo, prima della disconnessione di computer e server (operazione che ha mitigato non poco i danni e stroncato il propagarsi del ransomware).

Quale ransomware è stato usato?
La redazione di Bleeping Computer, data l’assenza di note ufficiali che indicassero esplicitamente la variante di malware usata, ha contattato gli sviluppatori di Maze, un ransomware del quale abbiamo già parlato spesso perchè protagonista ricorrente di questa ondata di attacchi ransomware che sta bersagliando enti pubblici, ospedali, scuole (ne parliamo poco più avanti) e aziende, anche in Italia.

Ma gli sviluppatori di Maze hanno negato categoricamente il loro coinvolgimento in questo attacco.

Il giorno dopo l’attacco, il 14 Dicembre, il servizio di scansione VirusTotal riceve alcuni campioni di file criptati e vengono inoltre caricati alcuni dump di memoria relativi a file eseguibili sospetti: l’indirizzo di upload è un IP negli Stati Uniti. Uno di questi dump, come ha mostrato il ricercatore Colin Cowie, contiene numerosi riferimenti alla città di New Orleans e ad un ransomware preciso, Ryuk.

I dump di memoria sono una fotografia della memoria usata da un applicazione mentre questa è in esecuzione: vi si possono estrarre molte informazioni utili, file name, comandi, stringhe ecc… Il dump analizzato da Cowie, relativo ad un file eseguibile di nome ‘yoletby.exe’ contiene numerosi riferimenti alla città di New Orleans, inclusi domain name, domain controller, indirizzi IP interni, nomi utenti, condivisioni di rete ecc… vi si trovano riferimenti all’editing del file name con l’estensione .ryk e alla creazione di una nota di riscatto RyukReadMe.html

Dall’incrocio di alcuni dump di alcuni campioni caricati su Virus Total, è stato individuato l’eseguibile responsabile dell’infezione della città di New Orleans: rinominato v2.exe, una volta eseguito installa il ransomware Ryuk sui sistemi.

Una vera e propria cyber guerra
L’attacco alla città di New Orleans è stato preceduto di qualche giorno da un altro attacco ransomware che ha colpito la città di Pensacola, in Florida. Poco tempo prima era finita nel mirino la Jackson County in Georgia. Lo scorso mese l’ufficio delle operazioni automobilistiche della Louisiana ha subito lo stesso destino.

Per approfondire > Ransomware & città criptate: cosa sta accadendo negli Stati Uniti?

Dal Gennaio 2019 sono state ben 1039 le isitituzioni scolastiche colpite da ransomware negli Stati Uniti, 72 i distretti scolastici / istituti educativi che hanno riportato pubblicamente l’incidente. 11 dei 72 distretti colpiti hanno visto i propri sistemi infetti a partire dalla seconda metà di Ottobre: il risultato è stato di 266 scuole colpite.

La situazione è così grave che il Senato degli Stati Uniti ha approvato il ‘DHS Cyber Hunt and Incident Response Teams Act’, una legge per autorizzare il Dipartimento di Sicurezza Nazionale (DHS) ad organizzare e mantenere team di cyber “cacciatori” e esperti di sicurezza IT per individuare i cyber attaccanti e aiutare sia gli enti pubblici che i privati a difendersi dai ransomware e da altri tipi di cyber attacchi. Il team di risposta fornirà consiglio e supporto tecnico in dettaglio su come migliorare le proprie difese e rafforzare i sistemi IT contro ransomware e altre tipologie di malware molto diffuse. I due team saranno finanziati a livello federale.

0[1]

Il ransomware Zeppelin attacca aziende sanitarie e IT in Europa e negli U.S.A

E’ in diffusione in questi giorni una nuova variante della famiglia di ransomware Buran: la nuova versione, chiamata Zeppelin, è stata individuata nel corso di attacchi reali contro aziende statunitensi ed europee. Nessuna campagna massiva di email vettore per questo ransomware, che anzi, viene distribuito quasi esclusivamente tramite attacchi mirati.

Buran è una famiglia di ransomware della quale abbiamo già parlato, che ha debuttato come ransomware as a service (RaaS) , pubblicizzato dal Maggio 2019 su molteplici forum di hacking in lingua russa. Il “business” funziona bene, gli affiliati sono già centinaia: il RaaS Buran infatti garantisce ben il 75% di guadagno dal pagamento del riscatto per gli affiliati, riservando invece per i propri operatori solo un 25%. Da Maggio sono state rilasciate almeno tre nuove varianti della famiglia, Vegalocker e Jamper, quindi la versione attualmente in distribuzione, Zeppelin appunto.

Zeppelin in dettaglio
Qualche giorno fa è stato pubblicato, da parte di BlackBerry Cylance, un approfondimento su Zeppelin. I ricercatori spiegano come questo ransomware sia usato in attacchi mirati contro aziende sanitarie e IT, in alcuni casi anche di alto profilo, ma si delinea anche un nuovo filone di attacchi che mira agli MSP (Managed Service Provider): un sistema “ottimo” per poter diffondere ulteriormente il ransomware sfruttando i software di assistenza remota in uso in tutti gli MPS.

Le modalità di diffusione potrebbero essere molteplici: una certa è l’attacco ad aziende che hanno server di Desktop Remoto esposti pubblicamente in Internet.

Come spesso accade per quei ransomware proveniente dai paesi dell’ Ex Unione Sovietica, anche Zeppelin verifica le impostazioni linguistiche del sistema sotto attacco, terminando le operazioni se l’azienda target risulta in Russia, Ucraina, Bielorussia o Kazakistan. Se, invece, nel sistema viene individuata una lingua diversa da quelle elencate, il ransomware, per prima cosa, terminerà molteplici processi inclusi quelli collegati a database, backup e mail server.

La particolarità è che, quando cripta i file, Zeppelin non aggiunge una estensione propria al file né ne modifica il nome: inserirà, tuttavia, un marcatore nel file, chiamato appunto Zeppelin, che può essere circondato da simboli differenti a seconda dell’editor hex in uso e del formato del carattere in uso.

Fonte: bleepingcomputer.com

La nota di riscatto è chiamata !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT e contiene le informazioni di pagamento e i contatti degli attaccanti.

Fonte: bleepingcomputer.com

Attualmente non c’è modo di decriptare i file senza pagare il riscatto, in quanto non è stata individuata alcuna vulnerabilità nell’algoritmo di criptazione. La buona notizia è che, per quanto questo ransomware stia prendendo campo, non è paragonabile ad altri ransomware come Ryuk o Maze in termini di ampiezza della scala di distribuzione.

Il builder degli affiliati
Ulteriori analisi hanno condotto il ricercatore di sicurezza Vitali Kremez a rintracciare il builder per Zeppelin che viene utilizzato dagli affiliati alla famiglia Buran per costruire differenti tipi di payload. Il payload può essere impostato in vari formati come .exe, .dll, .ps1 ecc… in base a quello più adatto secondo la tipologia di attacco che l’affiliato vuole portare.

Fonte: bleepingcomputer.com
Il builder permette persino la personalizzazione della nota di riscatto, strumento molto utile per quegli affiliati che preferiscono gli attacchi mirati rispetto a quelli che colpiscono “nel mucchio”.

01[1]

Nuovi attacchi contro utenti italiani: in distribuzione Ursnif e Emotet

Il Cert-PA e la compagnia di cyber sicurezza Yoroi hanno diramato due diversi alert riguardanti campagne di diffusione malware via email rivolte contro utenti italiani. Una prima campagna diffonde il trojan Emotet tramite caselle di Posta Elettronica ordinaria. La seconda invece diffonde il trojan Ursnif tramite false comunicazioni di noti Corrieri quali GLS. Vediamole in dettaglio:

1. La campagna di diffusione di Emotet
la rilevazione è avvenuta ad opera del Cert-PA, che ha individuato una campagna di email di spam con riferimenti al Ministero dell’Economia e Finanze (MEF) e all’Ispettorato Generale di Finanza (IGF), un portale che ospita vari applicativi correlati alle funzioni di vigilanza.

Il corpo email contiene un link che, all’apparenza, sembra condurre ad un documento istituzionale del MEF: in realtà reindirizza verso un dominio compromesso nel quale è in download un file .doc che ha funzioni di downloder del malware Emotet. Il tutto avviene tramite traffico SSL, così le parti di codice e i componenti dannosi del malware supereranno almeno i livelli basilari di sicurezza.

Fonte: https://www.cert-pa.it/

Inutile dire quanto sia “azzeccata e pericolosa” la scelta di utilizzare riferimenti al MEF in termini di possibilità per l’attaccante di indurre e indirizzare le azioni della vittima. La catena di infezione si avvia quando l’utente, una volta scaricato il documento dannoso, lo apre e abilita la macro contenuta: a questo punto viene scaricato ed eseguito in locale un file PE che conduce all’installazione di Emotet.
Il malware Emotet
E’ un trojan modulare sviluppato per rubare informazioni bancarie o finanziarie come le credenziali di accesso all’home banking o i wallet di criptovalute. Oltre a ciò, esfiltra dati sensibili, credenziali di login di svariate tipologie di servizi e informazioni personali. Non viene mai da solo, anzi, funge da distributore di altri trojan bancari, malware per il furto dati o bot modulari altamente personalizzabili come Trickbot. Emotet gestisce una botnet come malware-as-a-service (MaaS), affittabile nel dark web e che quindi mette in condizione i cyber criminali di poter affittare una imponente infrastruttura per diffondere nuovi malware.

Per approfondire >> L’evoluzione di Emotet: da trojan a complesso distributore di minacce

2. La falsa email del corriere consegna Ursnif
Yoroi ha individuato una campagna di email di malspam rivolta contro aziende italiane. Le email truffaldine simulano comunicazioni relative a fatture o documenti di carico o status di invio di noti corrieri espresso italiani. Tutte le email contengono un documento Excel compromesso, pensato per attivarsi solo ed esclusivamente su macchine sulle quali è impostato l’italiano come lingua di sistema.

L’excel contiene la solita macro dannosa, la cui abilitazione comporta l’installazione di Ursnif.

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).

Per approfondire >> Ursnif, il malware che minaccia l’Italia: vediamolo da vicino

0[1]

L’ultimo Update Patch di Microsoft risolve una grave vulnerablità 0-day in uso in attacchi reali

Con la più recente (e ultima per quest’anno) Patch Tuesday, Microsoft sta avvisando i propri utenti di una nuova vulnerabilità 0-day che gli attaccanti stanno sfruttando attivamente via exploit: se l’exploit ha successo gli attaccanti ottengono il controllo da remoto delle macchine vulnerabili. Pare che tale vulnerabilità venga sfruttata in combinato con un’altra vulnerabilità 0-day, la CVE-2019-13720 di Google Chrome.

La 0-day in oggetto è indicata con CVE-2019-1458 ed è una vulnerabilità che consente l’escalation di privilegi di amministrazione sul sistema. In dettaglio, Microsoft ha spiegato che “Un attaccante che abbia sfruttato con successo questa vulnerabilità potrebbe eseguire codice arbitrario in modalità kernel. Potrebbe, quindi, installare programmi, visionare, modificare o cancellare dati, oppure creare nuovi account con pieni privilegi di utente”.

La vulnerabilità risiede nella maniera in cui la componente Win32k nei SO Windows gestisce gli oggetti in memoria. L’exploit funziona sia sulle ultime versioni di Windows 7 sia su alcune build di Windows 10, mentre la vulnerabilità risiede nei seguenti SO:

Microsoft Windows 10 Version 1607 32-bit
Microsoft Windows 10 Version 1607 64-bit
Microsoft Windows 10 32-bit
Microsoft Windows 10 64-bit
Microsoft Windows 7 32-bit
Microsoft Windows 7 64-bit SP1
Microsoft Windows 8.1 32-bit
Microsoft Windows 8.1 64-bit
Microsoft Windows RT 8.1
Microsoft Windows Server 2008 R2 SP1
Microsoft Windows Server 2008 R2 64-bit SP1
Microsoft Windows Server 2008 32-bit SP2
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2008 64-bit SP2
Microsoft Windows Server 2012
Microsoft Windows Server 2012 R2
Microsoft Windows Server 2016

Anche Google ha proceduto a “tappare la falla” con il rilascio di un update di emergenza lo scorso mese, quando alcuni ricercatori di sicurezza hanno informato Big G dell’esistenza non solo della vulnerabilità, ma anche dell’uso attivo che già ne stavano facendo alcuni cyber criminali.

Complessivamente gli Update di Sicurezza di Dicembre rilasciati da Microsoft risolvono un totale di 36 vulnerabilità, tra le quali 7 di livello critico e 27 importanti.

01[1]

Ben tre campagne malware in corso contro utenti italiani: ransomware e trojan all’attacco

Non c’è pace per l’Italia: già ieri abbiamo reso notizia di una, ennesima, campagna di distribuzione del ransomware FTCode tramite circuito PEC. Questa è ancora in corso, ma già si sono affiancate a questa attività dannosa addirittura altre due campagne, una per distribuire il malware Emotet e una per il trojan bancario Ursnif.

1. Campagna di distribuzione Emotet
Emotet viene diffuso tramite email di spam: le email hanno vario argomento, ma sono tutte accomunate dal cercare di indurre un certo senso di urgenza nella potenziale vittima, così da renderla meno attenta e prudente. Le email contengono poco testo e un link che riconduce ad un file Word compromesso: questo infatti contiene una macro dannosa che, se abilitata, scarica ed esegue il malware Emotet.

Fonte: https://www.cert-pa.it/

Era da qualche mese che Emotet non calcava le scene: dopo un lungo periodo di silenzio, nel Settembre di quest’anno la botnet relativa si è riattivata, ma non ha registrato molte infezioni in Italia. Al contrario ha registrato impressionanti picchi di distribuzione e infezioni negli Stati Uniti, tanto da indurre il CERT-USA a diramare uno specifico avviso di sicurezza, data anche la pericolosità stessa del malware. La campagna individuata ieri è invece rivolta specificatamente contro utenti italiani.

Emotet in breve:
Emotet è un trojan bancario polimorfico capace di evadere l’individuazione basata su firma. E’ dotato di molteplici metodi per il mantenimento della persistenza, incluso l’auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale.

Per approfondire >> Emotet riprende le operazioni di diffusione, anche in Italia

2. Campagna di distribuzione Ursnif con false fatture DHL
La terza campagna attualmente in corso in Italia distribuisce invece, ancora una volta, il trojan bancario e per il furto dati Ursnif. E’ la terza campagna di distribuzione di Urnsif, rivolta contro utenti italiani, solo da inizio Dicembre. Le email vettore sono false fatture DHL, indirizzate a pubbliche amministrazioni ma anche a privati. Contengono due allegati, un documento XLS e un PDF. In dettaglio:

09122019_100348_1_001.pdf
MIL0001772313.xls

Il PDF è organizzato per emulare in tutto e per tutto una fattura legittima DHL, compreso il logo ufficiale dell’azienda.

Fonte: https://www.cert-pa.it/

Il testo sollecita il pagamento di una fantomatica fattura non soluta, ma il PDF di per sé non mostra comportamenti dannosi. E’invece il file XLS il vero responsabile dell’avvio della catena di infezione.

Anche in questo caso l’utente viene indotto ad attivare la macro, che avvia lo script dannoso (che agisce solo su sistemi Windows). Prima di procedere all’infezione del sistema, lo script esegue alcune verifiche volte ad accertarsi che il target sia effettivamente italiano, ad esempio tramite verifica della lingua impostata sul sistema.

Se il target è corretto, lo script esegue un altro script powershell composto assemblando vari “pezzi” che sono presenti in varie celle del documento Excel: avviene quindi il download e l’installazione di Ursnif.

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all’attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB. E’ già stato usato molteplici volte contro utenti italiani.

a[1]

Ancora ransomware FTCode: ennesima campagna di distribuzione via PEC contro utenti italiani

L’alert del Cert-PA è di stamattina, 9 Dicembre: è in corso, sempre solo contro utenti italiani, una nuova campagna di distribuzione del ransomware FTCode. Le email sono veicolate tramite il circuito PEC e contengono un unico link allegato il cui testo è ripreso dall’oggetto di una precedente email. Nella foto sotto la finta fattura TIM contenuta nell’email

Fonte: https://www.cert-pa.it/

Gli utenti Windows che visitano il link, si trovano a scaricare un archivio .ZIP contenente il dropper del ransomware FTCode. In caso invece l’utente apra l’email da smartphone Android, è indotto ad installare un’applicazione dannosa, derivata dal malware bancario per Android Anubis: anche questa variante sottrae credenziali bancarie e altri dati personali delle vittime.

FTCode in breve
FTCcode è un ransomware del 2013, scomparso dalle scene per oltre 6 anni: è stato individuato di nuovo in diffusione lo scorso Settembre. In poche settimane ne sono state registrate 3 nuove versioni, con svariate modifiche per risolvere bug e per migliorare la capacità di passare inosservato agli antivirus. Viene diffuso solo contro utenti italiani, tramite massive campagne di email di spam trasmesse tramite il circuito PEC. Mira principalmente ad aziende, pubbliche amministrazioni e professionisti: sono oltre 500 gli account email PEC compromessi usati per la diffusione del ransomware. Ad ora nessuna delle versioni di FTcode è risolvibile.

01[1]

Le estensioni browser di AVAST e AVG spiano gli utenti su Firefox e Chrome

La notizia è di ieri e non è certo rassicurante, dato che parliamo di importantissimi vendor di soluzioni di sicurezza mondiali del calibro di AVAST e della sua sussidiaria AVG: alcune estensioni browser offerte dai due vendor, disponibili per Google Chrome e Mozilla Firefox, raccolgono un eccessivo numero e tipologia di dati sugli utenti, al punto da poter affermare che spiano gli utenti stessi.

Le estensioni incriminate sono:

Avast Online Security
AVG Online Security
Avast SafePrice
AVG SafePrice
Parliamo di estensioni che mostrano avvisi e bloccano la navigazione su siti sospetti o riconosciuti come dannosi (come le pagine di phishing), mentre le ultime due sono estensioni per lo shopping online: comparano prezzi, mostrano sconti, offerte e coupon. Molti potrebbero non ricordarsi di averle mai scaricate, perchè vengono installate automaticamente nel browser predefinito dagli antivirus AVG e AVAST al momento dell’installazione stessa.

La ricerca di Palant che inchioda Avast
Il creatore di AdBlock Plus Vladimir Palant ha iniziato ad analizzare Avast Online Security e AVG Online Security alla fine di Ottobre e ha scoperto come queste raccogliessero molti più dati di quelli davvero necessari per espletare le proprie funzioni: tra i dati raccolti, anche la cronologia dettagliata del browser, una pratica nettamente vietata dalle policy sia da Mozilla che di Google. Qualche giorno dopo sempre Palant ha fatto sapere, con un altro post, di aver individuato il medesimo problema anche con Avast SafePrice e AVG SafePrice.

Il report è disponibile qui >> Avast Online Security and Avast Secure Browser are spying on you.

Quali dati sono inviati ad Avast?
> URL esteso della pagina che stai visitando,
> l’identificativo unico dell’utente (UID) generato dall’estensione per il tracciamento dell’utente;
> il titolo della pagina
> come si accede alla pagina (cliccando su un link, digitando direttamente l’indirizzo, usando i segnalibri impostati sul browser);
> un valore che indica se si era già vistata o meno quella data pagina;
> il codice della nazione dal quale si connette l’utente;
> il nome del browser e l’esatta versione in uso;
> il sistema operativo e il seriale.

“Il tab di tracciamento e gli identificatori di finestre e azioni consentono ad Avast di ricostruire piuttosto precisamente quasi tutto il comportamento di navigazione di un utente: quante schede ha aperto sul browser, quali siti ha visitato, quando e per quanto tempo, quanto tempo ha speso per leggere / vedere il contenuto di una pagina, cosa ha cliccato sulla pagina e quando è passato ad un’altra schda. Tutto questo viene corrisponde a precisi attributi che consentono ad Avast di riconoscere un utente in maniera inequivocabile, al punto da prevedere un identificatore univoco per ogni utente” afferma Palant nel suo report.

Mozilla ha preso, per adesso, la decisione più drastica rispetto a questa vicenda: ha deciso di rimuovere queste estensioni dal proprio portale degli add-on. La motivazione è semplice e stringata “questi add-on violano le policy di Mozilla sulla raccolta dati senza consenso dell’utente e senza che questo ne sia a conoscenza”. Mozilla non ha però inserito queste estensioni in blacklist, il che significa che finché l’utente non provvederà alla disinstallazione, queste continueranno a funzionare e a raccogliere dati. Queste estensioni restano invece ancora disponibili nel Chrome Web Store, nonostante Palant abbia provveduto a segnalare il problema anche a Google.

01[1]

StrandHogg: la devastante falla su Android già usata dai cyber criminali

E’ stata individuata dai ricercatori di Promon, che hanno scritto un dettagliato report disponibile qui in inglese, una grave vulnerabilità che affligge tutte le versioni esistenti di Android. Rendiamo un breve estratto del report, data la gravità della falla scoperta (che consente di prendere totale controllo sul dispositivo Android senza necessità di eseguire il root) e dato il fatto che è già in uso da diversi gruppi di cyber criminali.

Come funziona
Gli attaccanti stanno usando un exploit specifico che sfrutta questa falla di livello critico di Android: in dettaglio parliamo di una vulnerabilità nel sistema multitasking che può essere usata per consentire ad un’app dannosa di camuffarsi da qualsiasi altra app attiva sul dispositivo. L’exploit si basa sull’impostazione di controllo chiamata “taskAffinity” che consente a qualsiasi app (anche quelle dannose, evidentemente) si assumere liberamente qualsiasi identità nel sistema multitasking.

Che cosa può accadere se l’exploit ha successo?
La vulnerabilità rende possibile, come detto, ad un’app dannosa di travestirsi da una seconda app attiva nel dispositivo. In pratica al momento in cui l’utente esegue un’applicazione legittima, l’app compromessa gli mostrerà una schermata identica a quella dell’app originale e, a questo punto, inizierà a richiedere molteplici permissioni. L’utente ingannato penserà di concedere tali permissioni ad un’app legittima.

Nel caso studiato da Promon l’app dannosa ha richiesto permissioni per accedere agli SMS, alle foto, al microfono e alla fotocamera (con possibilità di attivarli in qualsiasi momento), al GPS (rendendo geolocalizzabile la vittima) ecc.. ma le possibilità di utilizzo di questa falla sono potenzialmente infinite. Ad esempio gli attaccanti potrebbero mostrare false schermate di login, ottenendo le credenziali inserite ma anche i codici utilizzati per l’autenticazione a due fattori.

Il meccanismo insomma, fa si che l’app dannosa possa richiedere sempre più permissioni, chiedendone di nuove all’utente mano a mano che si rendono utili: finchè infatti sarà possibile per l’attaccante fare profitto sul dispositivo della vittima, questo cercherà di scavare in tutti gli anfratti del dispositivo stesso.

Cosa può fare in breve:
ascoltare l’utente tramite microfono;
scattare foto tramite la telecamera del dispositivo;
leggere e inviare SMS;
chiamare o registrare chiamate;
rubare credenziali di login;
accedere a foto e altri file privati nel dispositivo;
geolocalizzare il dispositivo;
accedere alla rubrica e sottrarre i contatti;
accedere ai log del dispositivo.

Come colpisce i dispositivi Android
La versione analizzata da Promon non risiede nel Google Play, ma viene installata tramite molteplici app compromesse presenti nel Google Play: sono app che fungono semplicemente da dropper, trasportano cioè il codice dell’exploit. Molte di queste app sono già state rimosse dal Google Play, ma è ovvio pensare che molte altre saranno sfuggite ai controlli e molte ancora saranno adesso in upload sul Play Store. Un esempio: tra le app compromesse è risultata CamScanner app, un PDF creator, che però contiene un modulo col codice dell’exploit. Questa app risulta scaricata più di 100 milioni di volte. Parliamo di un app legittima, è bene intendersi, che però ha subito un cambio della versione in download qualche tempo fa. I proprietari ne sono venuti a conoscenza solo su segnalazione di alcuni ricercatori di sicurezza e hanno provveduto a sostituire l’APK compromesso, disponibile su Google Play. Promon, nell’ambito della propria ricerca, ha analizzato le 500 app più scaricate in assoluto dal Google Play, trovandone ben 36 infette con questo exploit.

Quali versioni sono afflitte da questa vulnerabilità?
Qui arriva la brutta, bruttissima notizia. Tutte, compresa la versione 10 di Android. Insomma, finché Google non rilascerà una patch adatta gli utenti saranno vulnerabili e la caccia alle app compromesse potrebbe essere infinita. Oltre a ciò, è molto molto difficile per una vittima rendersi conto che c’è qualcosa che non va sul proprio smartphone: a parte richieste di permissioni incongruenti rispetto alle funzionalità dell’app e schermate di login che di solito non compaiono, non ci sono molte posibilità di capire che il proprio telefono è stato hackerato.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy