Moltissime persone, con l'avvento degli smartphone, sono ormai perfettamente abituate a sincronizzare o trasferire file dal PC allo smartphone e viceversa, ma anche questa comodissima operazione è diventata a rischio. I ricercatori di FireEye Security, infatti, hanno scoperto un nuovo malware per Windows progettato per infettare i dispositivi Android che si connettono al computer colpito.
Il tutto è stato scoperto durante delle indagini su un attacco a una istituzione finanziaria americana, dove i ricercatori hanno trovato un "Remote Access Trojan" chiamato "Win-Spy Software Pro v16", uno strumento di spionaggio e monitoraggio. Il RAT era incluso in macro di documenti allegati ad alcune mail.
L'interfaccia di controllo del malware è pulita e ben organizzata: ormai sono quasi meglio delle interfacce per i software commerciali.
L'azienda di sicurezza dichara che "La rapida crescita di RAT per Android, come Dendroid e AndroRAT, dimostra un picco di interesse dei malintenzionati per il controllo dei device mobili. GimmeRAT è un altro esempio lampante di come i cybercriminali si avventurino nell'ecosistema di Android".
"GimmeRAT" è la componente di WinSpy che consente agli hacker di controllare il dispositivo della vittima riuscendo ad usarla in remoto tramite SMS o alternativamente, tramite controller Windows. "Abbiamo anche scoperto vari componenti Android che possono essere impiegati per sorvegliare un bersaglio".
Il metodo con cui WinSpy installa GimmeRAT, è quello di utilizzare uno strumento di command line chiamato Android Debug Bridge (ADB) che permette al malware Windows di eseguire comandi sul device. ADB è un tool perfettamente legale e fa parte dell'SDK Android ufficiale. In caso sia attivo il debugging USB, il malware procede all'installazione del corrispettivo Android passando direttamente dal pc al quale è collegato.
"Abbiamo trovato tre differenti applicazioni che fanno parte del pacchetto di sorveglianza. Una delle app richiede il comando tramite un controller, richiedendo l'accesso fisico al device, mentre le altre due possono essere caricate in un server client e permettono l'accesso remoto usando un altro telefono Android", hanno aggiunto i ricercatori.
Il malware è in grado di tracciare la posizione GPS della vittima, prendere screenshot del device e mandare i dati ad un server remoto; non solo, ma è anche in grado di monitorare le app di messaggistica dello smartphone infettato, caricare o scaricare file a piacimento o aprire ulteriori backdoor tramite l'esecuzione di comandi remoti.
In Gennaio, tecniche simili furono scoperte da Symantec in un altro malware chiamato "Trojan.Droidpack", anche qui un software per Windows usato però per infettare i device Android. Con la sempre più incessante diffusione dei device mobili, l'adozione di piattaforme basate su Android è in costante crescita e come conseguenza lo è anche l'interesse da parte dei cyber criminali, dai quali ormai possiamo aspettarci di tutto.
I nostri consigli sono i soliti: sospettate di email con allegati inviate da sconosciuti, utilizzate antivirus e/o antimalware sia per il vostro Personal Computer che per lo smartphone, non scaricate software contraffatto o da market non ufficiali. Altrimenti qualcuno chissà dove potrebbe girare un "Grande Fratello" di cui voi siete ignari protagonisti!