Nemmeno i telefonini sono al sicuro, malware russi rubano informazioni personali

Un tipo di malware interessante, ma non per questo meno pericoloso, sta colpendo alcuni telefoni "vecchio stile" venduti tramite diversi negozi online in Russia.

Il software malevolo è in grado di iscrivere gli utenti a servizi a pagamento e nascondere le proprie tracce, inoltre invia le informazioni personali degli utenti e del telefonino a un non ancora identificato server.

Il malware è stato scoperto dal ricercatore della sicurezza informatica conosciuto con lo pseudonimo di ValdikSS, il quale per la sua prova ha acquistato cinque diversi telefonini online: DEXP SD2810, Itel it2160, Irbis SF63, F+ Flip 3 e Inoi 101. Quattro dumb-phone su cinque hanno presentato diverse forme di malware installato a livello di sistema.

ValdikSS, che ha installato una stazione base 2G locale per intercettare le comunicazioni in entrata e uscita dai telefoni, ha affermato che i dispositivi hanno notificato segretamente un server internet remoto quando sono stati attivati per la prima volta, anche se i telefoni non hanno tecnicamente a disposizione un browser.

Inoltre, il firmware malevolo installato su questi dispositivi sembrerebbe iscrivere gli utenti a diversi servizi a pagamento, intercettando poi gli SMS in arrivo per non essere rilevato e non destare sospetti.

Nome telefono	Comportamento malevolo
Inoi 101	Nessuno
DEXP SD2810	Non contiene un browser internet ma si connette online via GPRS all'insaputa dell'utente e invia dati a un server remoto, compresi i codici IMEI e IMSI del telefono. Invia messaggi SMS a numeri premium recuperando il numero SMS e il testo SMS da un server remoto. Intercetta anche i messaggi di conferma SMS e risponde per conto dell'utente. Le segnalazioni online confermano questo comportamento.
Itel it2160	Una funzione "vendita" notifica un server remoto ( http://asv.transsion[.]com:8080/openinfo/open/index) quando il telefono viene attivato, inviando informazioni come il codice IMEI, il Paese, il modello, la versione del firmware, la lingua, il tempo di attivazione e l'ID della stazione base mobile.
Irbis SF63	Non contiene un browser internet ma si connette online via GPRS per notificare a un server remoto la vendita/attivazione del telefono. Prende il numero di telefono del telefono e registra gli account online (Telegram, secondo diverse segnalazioni). Recupera ed esegue i comandi da un server remoto ( hwwap.well2266.com).
F+ Flip 3	Il telefono invia un SMS con i codici IMEI e IMSI del telefono a numeri di telefono hardcoded nel firmware. Diversi altri utenti hanno notato questo SMS e se ne sono lamentati online. ValdikSS ha affermato di aver avvisato il venditore, che alla fine ha ignorato la sua segnalazione.

Nonostante il malware sia installato a livello di firmware, il ricercatore non è stato in grado di capire se la modifica malevola sia stata eseguita da terze parti, dagli operatori o da chi ha maneggiato i telefoni prima che fossero recapitati alla sua porta.

ValdikSS ha dato la colpa di questi incidenti di sicurezza agli operatori locali e ai venditori che hanno rivenduto i telefoni senza alcun controllo di sicurezza preliminare. Il ricercatore ha anche sottolineato il fatto che non c'è nessuna agenzia russa per la sicurezza delle telecomunicazioni dove questi rapporti potrebbero essere inoltrati.