Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Malware trovato pre installato nel firmware di 141 modelli di dispositivi Android low-cost
- VENERDÌ 25 MAGGIO 2018


Due anni dopo essere stata denunciata, è ancora attiva e in corso un'operazione criminale finalizzata all'inserimento di malware nel firmware di dispositivi Android low-cost: invece di essere bloccata infatti, l'operazione ha perfino ampliato la propria portata. La notizia di questa operazione di manipolazione dei firmware Android era uscita già nel 2016, quando alcuni ricercatori hanno scoperto che un attaccante (o un gruppo) aveva trovato il modo per penetrare nella catena di fornitura di diversi operatori mobili, infettando i telefoni con malware.

A quel tempo gli esperti affermarono di aver trovato malware nel firmware di almeno 26 modelli di smartphone e tablet Android low-cost. Una volta espulso dai dispositivi si sperava che i criminali facessero le valigie interrompendo l'operazione: non solo non è stato così, ma anzi, il numero dei modelli infetti è aumentato considerevolmente. 

I criminali espandono le operazioni e infettano più dispositivi
In un rapporto pubblicato ieri alcuni ricercatori affermano che il gruppo non ha, in realtà, mai smesso di "lavorare" e ha continuato a compromettere i firmware di un numero sempre maggiore di dispositivi, facendo lievitare non poco le "dimensioni" di questa operazione. E' stata infatti pubblicata una lista di oltre 140 modelli di smartphone e tablet Android sui quali è stato individuato il malware in questione, denominato Cosiloon.

Il malware
I report già pubblicati da vari analisti su questo malware ribadiscono unanimamente che il malware non ha ricevuto alcun aggiornamento e continua a funzionare secondo le stesse modalità impiegate a partire dal 2016. Viene eseguito dalla cartella "/ system" con diritti di root completi e il suo compito principale è quello di connettersi a un server remoto, scaricare un file XML e quindi installare una o più app menzionate in questo documento. Poiché il malware viene fornito come componente del firmware, può facilmente "catturare" qualsiasi app gli venga indicata dai truffatori e può installarla senza alcuna interazione dell'utente. In quasi tutti i casi, le app dannose installate dal malware vengono utilizzate esclusivamente per visualizzare ads su altre app o sull'interfaccia stessa di Android. Di seguito sono riportati alcuni esempi dei popup che i proprietari dei dispositivi infetti vedono solitamente:
 


I truffatori paiono interessati esclusivamente a generare entrate tramite le sole pubblicità: infatti non sono stati osservati altri comportamenti dannosi del malware. Gli unici casi nei quali il malware non scarica app aggiuntive dannose sono quando:
  • la lingua del dispositivo è impostata su cinese;
  • quando l'indirizzo IP pubblico del dispositivo è compreso nel range degli IP cinesi;
  • quando il numero di app installate localmente è inferiore a tre: un numero così basso di app installate può indicare l'esistenza di un ambiente di scansione/test. In questo caso il malware si auto sospende per non rischiare di finire in trappola e quindi essere studiato dai ricercatori di sicurezza. 
Qui è disponibile la lista dei 141 dispositivi infetti >> https://bit.ly/2s43hDs

Il punto di infezione rimane sconosciuto anche dopo due anni
Tutti i report fino ad oggi pubblicati non indicano il punto, quel momento lungo la filiera di produzione-distribuzione-vendita nel quale il malware viene inserito nel firmware di questi dispositivi appena usciti dalla casa produttrice. Sappiamo solo che dispositivi infetti con questo malware sono stati individuati in 90 diversi paesi e che l'unico dato in comune tra tutti è il fatto che tutti questi dispositivi montano un chipset Mediatek.

Si può quindi incolpare Mediatek al di là di ogni ragionevole dubbio? Assolutamente no, perché qui sta la particolarità: l'infezione non riguarda tutti i dispositivi di un dato modello, ma solo alcuni: se uno dei componenti del firmware MediaTek avesse ospitato il malware, tutti i dispositivi per uno specifico modello sarebbero stati interessati, non solo un numero ristretto. Ciò significa che i truffatori infettano dispositivi random, non appena cioè riescono a trovare una "finestra aperta" nella catena per infettare i firmware. 

Il punto è che vari ricercatori hanno attaccato (e anche messo offline) il server di comando e controllo del malware, senza successo. L'ultimo tentativo è riuscito a mettere in down il server C&C per un breve periodo di tempo, ma, poiché il register di domini non è intervenuto a invalidare il nome dominio usato dal gruppo, il gruppo è passato ad altro provider. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 12 LUGLIO 2019
ALERT: il malware Agent Smith fa strage di smartphone Android
Siamo proprio sicuri che il WhatsAPP che stiamo usando in questo momento sul nostro smartphone Android sia quello vero? Siamo sicuri che stia realmente funzionando come c...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login