Secondo un recente studio del Kaspersky Lab, una parte degli utenti Android presi di mira da mobile malware o adware nel corso dello scorso anno (il 14,8%) ha subito un’infezione delle partizioni di sistema, rendendo di fatto i file dannosi impossibili da cancellare.
Si va dai trojan, che possono installare ed eseguire applicazioni all’insaputa dell’utente, agli adware, meno minacciosi, ma comunque invadenti.
Un’infezione della partizione di sistema comporta un alto livello di rischio per gli utenti dei dispositivi infetti. Solitamente le limitazioni dei sistemi operativi mobile non permettono ad alcuna soluzione di sicurezza di accedere alle directory di sistema, di fatto rendendo impossibile rimuovere i file dannosi.
L’elenco delle minacce per il sistema operativo Android
L’infezione su Android percorre due strade differenti: o la minaccia ottiene l’accesso root su un dispositivo e installa l’adware nella partizione di sistema, oppure il codice per la visualizzazione degli annunci entra nel firmware del dispositivo prima ancora che finisca nelle mani dell’utente.
In quest’ultimo scenario, ciò potrebbe portare a conseguenze potenzialmente indesiderate e non pianificate. Per esempio, molti smartphone hanno funzioni che consentono l’accesso remoto al dispositivo. In caso di violazione, tale funzione potrebbe portare a una grave compromissione dei dati del dispositivo di un utente.
Tra i tipi più comuni di malware trovati nella partizione di sistema degli smartphone Android ci sono due minacce più “vecchie”: i trojan Lezok e Triada.
Quest’ultimo si distingue per il suo codice pubblicitario incorporato non solo ovunque, ma direttamente in “libandroid_runtime”, una libreria chiave utilizzata da quasi tutte le applicazioni del dispositivo.
Tuttavia, l’esame delle app di sistema delle vittime ha rivelato un’ampia gamma di minacce.
Il trojan Agent, ad esempio, è un malware che di solito si nasconde nell’app che gestisce l’interfaccia grafica del sistema, o nell’utility Settings, senza la quale lo smartphone non può funzionare correttamente. Il malware fornisce il suo payload, che a sua volta può scaricare ed eseguire file arbitrari sul dispositivo.
Poi c’è il trojan Sivu, che è un dropper mascherato da app HTMLViewer.
Il malware è composto da due moduli e può utilizzare i permessi di root sul dispositivo: il primo modulo visualizza gli annunci pubblicitari sopra le altre finestre e nelle notifiche, mentre il secondo modulo è una backdoor che consente il controllo remoto dello smartphone. Le sue capacità includono l’installazione, la disinstallazione e l’esecuzione di applicazioni, che possono essere utilizzate per installare segretamente applicazioni sia legittime sia dannose, a seconda degli obiettivi del criminal hacker.
L’applicazione adware Plague è un’altra minaccia comune riscontrata nella partizione di sistema. Finge di essere un servizio legato al sistema operativo, che si fa chiamare Android Services – ma in realtà, può scaricare e installare app all’insaputa dell’utente, oltre a visualizzare gli annunci nelle notifiche.
Inoltre, Plague.f può visualizzare gli annunci in SYSTEM_ALERT_WINDOW – una finestra pop-up che si trova in cima a tutte le applicazioni.
Il trojan Necro.d, altro colpevole individuato nella ricerca, è insolito, perché è una libreria nativa che si trova nella directory di sistema. Il suo meccanismo di lancio è integrato in un’altra libreria di sistema, libandroid_servers.so, che gestisce il funzionamento dei servizi Android.
Al comando del server di C2, controllato dal criminal hacker, Necro.d può scaricare, installare, disinstallare ed eseguire le applicazioni, hanno spiegato i ricercatori.
Inoltre, gli sviluppatori hanno deciso di lasciare all’interno una backdoor per l’esecuzione di comandi di shell arbitrari. Come se non bastasse, Necro.d può scaricare l’utility Kingroot superuser rights – apparentemente in modo che il sistema di sicurezza del sistema operativo non interferisca con la fornitura di contenuti “molto importanti” per l’utente”.
Penguin, Facmod, Guerrilla, Virtualinst e Secretad si trovano spesso anche sulle partizioni del sistema dei dispositivi mobili.
Adware “factory set”, installati in fabbrica
Per quanto riguarda l’adware preinstallato, alcuni dispositivi vengono forniti con un’applicazione chiamata “AppStore”, che secondo i ricercatori di Kaspersky sembrerebbe essere un adware.
Questa app consuma dati e batteria, ma può anche scaricare ed eseguire codice JavaScript di terze parti.
L’analisi, quindi, dimostra che gli utenti mobile non solo sono regolarmente attaccati da adware e altre minacce, ma il loro dispositivo può essere a rischio già prima di averlo acquistato, in particolare negli smartphone di fascia bassa. Alcuni produttori di dispositivi mobile, infatti, stanno puntando alla massimizzazione dei profitti attraverso strumenti pubblicitari in-device, anche se questi causano disagi agli utilizzatori.