Sicurezza

Un baco fa apparire i malware come app legittime

A darne la notizia è Symantec che martedì scorso ha annunciato di avere trovato due applicazioni in cinese che vengono distribuite tramite un marketplace alternativo di Android e che hanno utilizzato la vulnerabilità chiamata "master key" scoperta all'inizio di questo mese.

Entrambe le applicazioni, utilizzate per trovare e pianificare gli appuntamenti con dei medici, sono legittime, ma sono state in parte modificate dagli hacker. In queste app è stato inserito un codice maligno che consente a un utente malintenzionato di controllare a distanza un dispositivo Android e raccogliere dati, come numeri di telefono e il numero IMEI.

Possono anche disattivare alcuni programmi software di sicurezza mobile ma solo in lingua cinese. Inoltre, il codice può comandare un dispositivo per inviare SMS ad un numero premium, una truffa in cui un hacker che ha sotto controllo tale numero può fare molti soldi a spese della vittima.

Le mille porte per il malware di Android sono ancora per lo più aperte. Per fortuna la ricerca è molto attenta e gli exploit vengono rilevati molto in fretta…

La falla sfruttata in questo caso è conosciuta come "master key" vulnerability ed è stata scoperta qualche tempo fa da Bluebox Security, un'azienda di sicurezza mobile. La società ha rilevato che un file del pacchetto Android, utilizzato per l'installazione di un'applicazione, potrebbe essere modificato in modo da non influenzare la firma digitale originale crittografica dell'applicazione.

In questo modo, il sistema non rileva la modifica e lo lascia passare come applicazione valida e firmata. Google ha già rilasciato da tempo le patch per risolvere il problema che riguarda tutti i dispositivi che usano versioni di Android 1.6 e superiori. Il problema, però, è che la distribuzione della patch è delegata agli operatori di telefonia mobile, che sono di solito un po' lenti nella divulgazione.

Alcuni fornitori di sicurezza hanno rilasciato delle patch per i propri antivirus per correggere la vulnerabilità senza dover attendere l'intervento dell'utente e degli operatori di telefonia. Google ha comunque effettuato una scansione delle applicazioni nel suo Play Store per eliminare programmi che potrebbero essere infetti, mentre Symantec consiglia agli utenti di scaricare le applicazioni solo da rinomati e sicuri marketplace di applicazioni Android.

"Ci aspettiamo che gli aggressori continueranno sfruttare questa vulnerabilità per infettare i dispositivi degli utenti che ancora non hanno applicato la patch e probabilmente mai lo faranno per un sacco di motivi," ha sottolineato Symantec.