07 Febbraio 2020
Agent Smith identifica un malware recentemente scoperto dai ricercatori di Check Point Research che ha infettato circa 25 milioni di dispostivi Android. Oltre al numero di per sé rilevante delle vittime, è degna di nota anche la tecnica utilizzata dagli hacker per finalizzare l'attacco ed utile l'insegnamento che l'utente finale dovrebbe trarre dalla vicenda.
Agent Smith - omaggio all'omonimo personaggio della trilogia di Matrix (foto in apertura) - può infettare tutti i dispositivi basati su Android 7 e versioni superiori, si nasconde in un'app scaricabile da store non ufficiali e sostituisce in automatico applicazioni installate sullo smartphone con versioni dannose, il tutto all'insaputa dell'utente.
L'app così modificata inizia a mostrare annunci pubblicitari a scopo di lucro. Il malware tuttavia potrebbe però essere utilizzato per raggiungere ulteriori scopi, come ad esempio la sottrazione di informazioni personali - come i dati bancari - o le intercettazioni. La buona notizia è che, al momento, le principali segnalazioni provengono dall'India e da altri Paesi asiatici, ma non mancano casi registrati negli Stati Uniti, in America e nel Regno Unito.
Lo schema di attacco può essere sintetizzato in tre fasi:
- Nella prima l'utente scarica l'applicazione dropper (è un tipo di trojan progettato per installare altri malware) da uno store non ufficiale, come 9Apps. Si presenta sotto forma di giochi gratuiti, app per la produttività personale o che offrono contenuti per adulti. Una volta scaricata, l'app dropper controlla se sono installate nel dispositivo app molto diffuse (es. WhatsApp o MXPlayer) per individuare il bersaglio
- Nella seconda fase, l'app dropper decripta nella forma originale il malware (un file APK) di cui si fa vettore e procede ad installarlo sfruttando diverse vulnerabilità di Android
- Nell'ultima fase la parte centrale del malware estrae i file APK delle applicazioni precedentemente identificate e inizia a modificarli con elementi dannosi; da ultimo, sfruttando altre vulnerabilità, sostituisce la versione originale con quella modificata.
Come si può intuire, la tecnica è particolarmente insidiosa per l'utente finale che prima non si rende mai conto dell'azione dell'app dropper e, quando il malware completa la sua azione, di utilizzare la versione modificata di un'app innocua e molto popolare
Per tornare all'insegnamento accennato in apertura, scaricare app da store non ufficiali non è consigliato. Anche quando si tratta di contenuti inseriti nel Play Store si verificano casi di app che o contengono malware o continuano a rimanere online anche in violazione delle regole fissate da Google - si veda il recente report sulle app che raccolgono dati personali anche senza permesso. A maggior ragione gli store non ufficiali, che come tali hanno tendenzialmente misure di sicurezza inferiori, dovrebbero essere evitati per non incappare in app dannose. Chi invece sospetta di utilizzare un'app colpita da Agent Smith dovrà procedere alla disinstallazione.
Commenti
io farei un tentativo
Ma cosa diavolo c'entra la difficoltà con la correttezza del confronto?
Se devi paragonare due oggetti è evidente che le condizioni debbano essere omogenee.
Quindi va stabilita la facilità di contrarre malware da parte di terminali iOS che scaricano software indifferente da sorgenti ufficiali e non ufficiali
È semplicemente ridicolo sotto il profilo statistico raffrontare iOS che prelevano software unicamente attraverso canali ufficiali con Android che (contrariamente alle indicazioni del costruttore) lo fanno anche da sorgenti diverse.
È una statistica che non sta in piedi, capisci?
Continui ad arrampicarti sugli specchi. È oggettivamente più difficile se non impossibile, per un utente medio, effettuare il jailbreak. Infatti questo è un virus che ha colpito maggiormente Android. Stai in errore e lo sai, basta prenderne atto. Il paragone va fatto tra i due OS così come sono. Uno dà la possibilità di installare app al di fuori dello store ufficiale, l'altro no. La questione finisce qui.
Stiamo parlando di un malware che si contrae SOLO fuori dal Play Store, così come la grande parte dei malware.
Dunque se vuoi fare un paragone con Apple devi parlare di dispositivi iOS che installano applicazioni da sorgenti differenti da quella Apple
In caso contrario il confronto non ha senso.
È una questione di correttezza di metodo, non di difendere qualcosa
Ti arrampichi sugli specchi. Per installare applicazioni fuori dal Play Store basta spuntare qualche voce nelle impostazioni, cosa che chiunque saprebbe fare. Per effettuare il jailbreak su iOS (per poi installare applicazioni da Cydia o chissà dove) è necessario seguire una lunga guida che richiede un computer ed appositi programmi, non alla portata di tutti. Le due cose non sono comparabili. Inoltre è Android stesso che dà la possibilità di installare applicazioni fuori dal Play Store, mentre iOS no, ed effettuare il jailbreak invalida la garanzia. Diciamo che pur di difendere un OS bucato come un colabrodo, insicuro, e pieno di virus anche nello store ufficiale scrivi corbellerie, sì insomma, fandonie, inesattezze, frottole, favole, bugie.
Sono fantastiche queste repliche prive di motivazione, le uniche che può dare chi interviene senza adeguata preparazione
https://uploads.disquscdn.c...
Ma lo sai che tra i tanti siti che mi metteva in evidenza Google now, ho aperto solo quello di HDblog proprio per questo pensiero?
No perché senza jailbreak non si possono installare applicazioni non ufficiali e questo malware (come la stragrande maggioranza dei malware) si contrae SOLO al di fuori del Play Store.
Dunque per un confronto paritetico quanto a pericolosità devi confrontare il dispositivo Android con un iOS sbloccato il cui utente scarica software da sorgenti non ufficiali.
Appunto, con un semplice tap. Mentre per eseguire il jailbreak occorre eseguire una procedura che richiede programmi specifici ed un computer. Molto diversa la cosa. Praticamente mi hai dato ragione.
e quindi? forse non lo sai ma è capitato che venissero bucati i repository di una distribuzione linux e sostituiti i pacchetti con malware.
tu vedi i sorgenti da una parte, e ti "fidi" di f-droid sul fatto che il binario apk che scarichi sia la conseguenza di quei sorgenti.
Ma non hai alcun modo di esserne sicuro.
Ripeto, senza malizia verso f-droid, se è una azienda piccola e con poche risorse non è uno store sicuro. E non si sa chi siano, dove siano, a quali autorità obbediscano.
Le app su F-Droid devono essere per forza open source.
11 millioni di utenti solo un anno fa.. Ad oggi sicuramente di più e sono pochi?
L'ho pensato mentre leggevo anche io.. Certo e che più le tecnologie vanno verso l'integrazione dei dati.. Vedi google che registra le password per semplificare l'inserimento delle decine di password o semplicemente il fatto che sul cellulare ci sono praticamente tutti di una persona, più infettare un dispositivo può portare a dei gravi danni. La sicurezza dovrebbe cambiare e migliorare a partire da un controllo incrociato impronta scansione oculare e non centinaia di password da cambiare in continuazione..
Dici che è necessario? Fra pochi mesi penso di cambiare telefono, mi scoccia fare hard reset.
E una volta installato il virus, scopri che hanno pure il tarallo
Non è assolutamente vero, lo store di microsoft è praticamente abbandonato, Office lo scarichi dal tuo account di office 365 e non dallo store, tutte le app si possono usare tranquillamente senza account microsoft. L'unica cosa che non puoi fare senza account è la sincronizzazione tra dispositivi, cosa che interessa a me e a pochi altri, ed è anche per quello che non voglio un account google. Ho tutto su un account e non voglio avere altri miei account aperti ma inutilizzati. Con un account devo poter fare tutto.
Ehm.. si? Qualsiasi test lo dimostra. Questo dell'articolo invece è autolesionismo
Formatta
Bravoh
Non è che per essere utilizzabile deve essere per forza stabile
Vabbè basta un piede di God Sigma per spiaccicare Smith
In realtà ti ha infettato, e anche tu ora sei un clone si Smith.
Trinity aiutami!
Sono stupito, da qaundo iphone ha il copia incolla? iOS 133?
Ahaha 250gr di ferro vecchio
Beh ci sono anche bambini con android, siamo l'80% d'altronde
era ironia..il riferimento a windows mobile non ha alcun senso.
Esatto non nelle vie ufficiali
Ti piacerebbe, android è sicuro tanto quanto se nn più di ios
Mai nella vita in un iPhone
Mediocramente stitico.
Plot twist: aprendo questa webpage installerai il virus sul tuo dispositivo
Assolutamente no, basta abilitare il browser all'installazione del software ed autorizzare il terminale ad installare da sorgenti esterne al Play Store.
Entrambe le opzioni sono disabilitate di default (ovviamente) ma l'utente è libero di abilitarle con un semplice tap.
Attenzione, agent Smith usa la vulnerabilità janus che NON infetta Android 7 che usa le signature v2 (quindi niente injection Dex) al contrario di quello che avete scritto.
C'è un bell'articolo su guardsquare
Ma per scaricare fuori dal Play Store non occorre effettuare lo sblocco del dispositivo seguendo una lunga procedura da fare con un computer. Sbaglio?
Si, probabilmente voleva solo pubblcizzare il suo blog di seconda scelta che non ha neanche un dominio proprietario
Questa malware si contrae solo scaricando software fuori dal Play Store, e mi pare che per scaricare fuori dall'app Store sis necessario il Jailbreak.
Sbaglio?
Stai ingigantendo il fenomeno delle installazioni fuori Store. Una cura più attenta a ciò che passa dal play store ufficiale e a mio avviso il problema non si pone.
Perché diciamocelo: il tuo contenzioso è con le installazioni fuori store, ma te lo dice anche google che sei a rischio quando attivi le origini sconosciute. Tanto è che se noti ste notizie arrivano sempre da paesi dove c'è scarsa cultura informatica e alto tasso di pirateria (in questo caso l'India).