lunedì 7 marzo 2011

Malware su Android: il punto

In questi giorni è successo quello che ormai da tempo sembrava sempre più probabile... un malware ha colpito alcune applicazioni di Android distribuite dal market di Google. Dopo una serie di avvisaglie, con app "ufficiali" modificate con l'inserimento di trojan prima di distribuirle attraverso market non ufficiali, siamo arrivati alla "madre di tutti i malware per Android"... il malware in casa del market ufficiale.

Vediamo in breve cosa è successo, e quali sono state le mosse di BigG per cercare di reagire nel miglior modo possibile.

Un utente è casualmente incappato in una delle applicazioni infette notando che l'autore non era quello originale; ha quindi scaricato due delle applicazioni, le ha analizzate e ha scoperto che contenevano codice per ottenere i diritti di root. Pur non avendo idea di cosa realmente facessero queste applicazioni ha capito che non poteva essere niente di buono. Dopo qualche altra analisi, ha visto che le applicazioni inviavano i codici IMEI e IMSI ad un sito remoto in California. Definitivamente convinto che la cosa fosse grave, ha così contattato i responsabili di un blog che si occupa di Android  che hanno fatto un altro passo nell'analisi e hanno finalmente capito che oltre al root del dispositivo dell'utente e all'invio dei codici IMEI e IMSI veniva messo in atto un vero e proprio furto di tutti i dati possibili: ID dello smartphone, modello, partner (provider?), lingua, paese e userID. Veniva inoltre data la possibilità di scaricare ulteriore codice malevolo, proprio come nelle migliori infezioni per computer.

Avvisati i responsabili di Google, nel giro di minuti le applicazioni segnalate sono state rimosse dal market. Si è quindi operata una ricognizione di tutte le applicazioni coinvolte (con l'ausilio anche di Lookout) ed infine, sul blog ufficiale di Android è stato pubblicato un post che elenca tutte le azioni intraprese:

- Google ha rimosso le applicazioni dannose dal Market ufficiale, ha sospeso l'account dello sviluppatore e ha contattato le forze dell'ordine
- è stata attivata la procedura di rimozione da remoto delle applicazioni dannose dai dispositivi interessati
- un aggiornamento del market di Android è in distribuzione su tutti i dispositivi interessati che annulla le operazioni malevole effettuate. Quindi, su ogni dispositivo colpito verrà inviato un avviso via mail entro 72 ore
- tutte le necessarie azioni di miglioramento per impedire il ripetersi di questi episodi sono già in atto

Al di là della cronaca (che è comunque molto interessante), secondo me è importante fare alcune riflessioni.

1- un ambiente aperto e in rapida evoluzione come quello di Android, è un catalizzatore per il crimeware come pochi altri.

2- alcuni "errori di gioventù", come abbiamo già avuto modo di notare, stanno complicando il percorso di crescita in sicurezza di Android.

3- Google ha deciso di usare il proprio potere di "Kill Switch" - ovvero la possibilità di entrare nei dispositivi e andare a installare e disinstallare codice - per eliminare le minacce legate a questi malware. Cosa certamente buona e giusta, ma quanti di voi sapevano dell'esistenza di questa possibilità? Forse un po' di chiarezza in più non guasterebbe...

4- una maggiore attenzione alla sicurezza degli smartphone è assolutamente necessaria per evitare problemi che potrebbero potenzialmente essere maggiori di quelli della sicurezza su PC.

Intanto consoliamoci con gli eccellenti tempi di risposta. E speriamo che in futuro ci siano procedure che possano anticipare i problemi e non solo andarli a risolvere.




7 commenti:

ilgioa ha detto...

La presenza di malware tra le applicazioni Android e' storia vecchia ormai di settimane. Quindi c'e' proprio poco da consolarsi con i tempi di risposta.
Ad es.: http://www.darkreading.com/authentication/167901072/security/client-security/228901592/new-trojan-could-be-trouble-for-android-users.html

Matteo Cavallini ha detto...

Ciao Marco,

intanto grazie per seguire Punto 1. Effettivamente l'argomento malware su Android è ricco di notizie. Quella che citi tu è la stessa alla quale facevo riferimento all'inizio del post dicendo: "Dopo una serie di avvisaglie, con app "ufficiali" modificate con l'inserimento di trojan prima di distribuirle attraverso market non ufficiali".

La vera differenza, questa volta, è che ad essere impattato è il market ufficiale di Android e non market gestiti da terzi (cinesi, come nel caso sopra). Ovviamente, i tempi di risposta sono riferiti quindi alle procedure di Incident Response del Market di Google che, a quanto sembra, nell'arco di minuti ha intrapreso le prime azioni di contenimento.

Sempre a proposito di market, poi, c'è un'altra notizia interessante e cioè che Amazon ha deciso di realizzare un proprio market per app Android che avrà - pare - garanzie di sicurezza e affidabilità analoghe a quello di Apple. In questo modo si realizzerebbe un offerta davvero completa con 3 tipologie diverse di market: quello Google, che mantiene l'approccio ufficiale ma con filosofia open, quello Amazon, dove l'apertura viene sacrificata sull'altare della affidabilità e sicurezza e quelli di terze parti che rappresentano un po' il far west e dove è possibile trovare di tutto un po'.

Vedremo.

Un saluto,
Matteo

Spectralwinter ha detto...

Io purtroppo sono uno degli utonti incappati in questo malware.
Purtroppo per mia disattenzione e per mia ignoranza, ho installato uno di questi programmi camuffati da videogame e ho ricevuto oggi l'informativa da parte di google.
Purtroppo non sono molto esperto in questo genere di cose e mio malgrado sono seriamente preoccupato per questa faccenda anche perche' il telefono e' nuovo.

Potreste per favore darmi consigli o altro? Anche perche' il gestore di telefonia dove l'ho comprato non credo me lo cambi.

Inoltre quali sono i rischi che realmente corro?
Posso fare qualcosa per arginare un po i rischi/danni.

Matteo Cavallini ha detto...

Ciao,

non ti buttare giù, in questo caso non parlerei di utonti. L'inganno era ben congegnato ed è passato inosservato a tanti.

Mi dispiace che tu sia incappato in questo guaio ma puoi fare diverse cose per riuscire a sistemare tutto.

Se hai ricevuto la mail di Google vuol dire che Google ha già provveduto o sta per provvedere a bonificare il tuo telefono dalle applicazioni malevole. In ogni caso potresti scaricare un software antivirus e fare una scansione del telefono. Come software c'è ormai un'ampia scelta. Per esperienza personale, ti direi di provare Lookout o Antivirus free o NetQin che mi sembrano i migliori. Installane uno e fai una scansione. Se non trova niente vuol dire che il tuo telefono è già stato bonificato da Google.

Secondo me, poi, dovresti assolutamente cambiare tutte le password dei servizi che usi con il telefono perchè potrebbero essere state compromesse.

Una volta che hai fatto questi passi, direi che puoi stare abbastanza tranquillo, al massimo verifica sulla tua casella Gmail se qualcuno si è collegato da posti dove non sei stato, nel qual caso verifica meglio e casomai notifica il tutto al team di Google.

Spero di esserti stato utile anche se questo, come puoi vedere non è un blog dedicato alla telefonia ma si occupa di sicurezza. Penso che comunque in rete potrai trovare altre informazioni più approfondite.

Un saluto,
Matteo

PS Se ti sei incuriosito a questi temi... continua a seguirmi!

Spectralwinter ha detto...

Ti ringrazio tanto per la gentilezza e per la risposta che mi hai dato.
Dunque Io ho sempre avuto antivirus (2 ne avevo) sia lookout e avg e non mi hanno dato segnalazioni strane,quando ho letto la mail di google sono caduto proprio dalle nuvole e cmq ho iniziato un po a informarmi sulla sicurezza e su android.
Ora sto cambiando tutte le password come mi hai suggerito.

Per quanto riguarda il servizio di gmail, nn lo conoscevo, peccato che mi dice solo gli accessi del giorno =)

Ovviamente seguiro' il tuo blog :P e' gia' nei preferiti.
Un ultima domanda se puoi. Volendo un malintenzionato con il codice imei cosa puo' fare? E' possibile cambiarlo?

Matteo Cavallini ha detto...

Ciao,

grazie per i complimenti! Fanno sempre piacere.

Mi sembra interessante il fatto che tu avessi installato un AV e che non ti abbia segnalato niente. Effettivamente, essendo un malware nuovo, un AV basato su firme non ha potuto riconoscerlo nel momento dell'installazione. E' quindi importante sottolineare come sia determinante schedulare delle scansioni periodiche, perché in questo caso, il DB delle firme si sarebbe aggiornato e ti avrebbe segnalato la presenza del malware.

Venendo alla tua domanda (mi addentro in un mondo che conosco poco e spero di non dire fesserie), il codice IMEI è un codice di identificazione del dispositivo e quindi non è possibile cambiarlo. E' per questo che, se si presenta denuncia di furto è opportuno inserire questa informazione. Cosa ci si può fare? Non molto, come ti dicevo serve essenzialmente per tracciare le attività del dispositivo, nelle prime versioni di Android non era neanche richiesta una esplicita autorizzazione dell'utente affinché l'applicazione lo mandasse ai relativi sviluppatori che, di norma, lo utilizzavano come identificatore certo.

Un saluto,
Matteo

Spectralwinter ha detto...

Ok ti ringrazio tanto per la risposta =)
Cmq ieri sul market c'era un tool per la rimozione del trojan e non me lo segnalava.

Grazie ancora per la tua gentilezza =)

Posta un commento

http://www.wikio.it