Guida alla cancellazione sicura dei dispositivi Android per il venditore super paranoide.

Il post seguente è stato tradotto per gentile concessione di Zackery Fretty

Uno qualunque dei miei amici direbbe che sono un pazzo paranoide per quanto riguarda gli utenti malintenzionati, soprattutto quando si tratta di vendere la mia vecchia elettronica. Sono il tipo di ragazzo che preferisce mettere una pietra sopra al vecchio dispositivo. Purtroppo sono anche il tipo che ama comprare i nuovi Nexus non appena escono, quindi preferisco vendere i miei vecchi dispositivi per finanziare i miei nuovi acquisti. Per poterlo fare ho dovuto trovare un modo per sentirmi tranquillo. Ora so che un modo davvero semplice è abilitare la crittografia e poi formattare. Per qualche ragione quando ho venduto il mio HTC One X la cifratura non ha funzionato e la scheda SD non era rimovibile, quindi avevo bisogno di trovare un modo per tranquillizzarmi e vendere il dispositivo, ecco perché sono giunto a questa soluzione.

Non sono sicuro al 100% ma credo che potrebbe essere necessario aver installato BusyBox/Root, o semplicemente utilizzare Android SDK (che sarà utile in seguito); ma presumo che chiunque sappia che il Ripristino dati di fabbrica del vostro dispositivo in realtà non rimuove nessun dato, sia lo stesso tipo di persona che effettuerebbe il rooting dei dispositivi Android.

Anche solo come nota a margine, non sto dicendo che questa sia la cosa più sicura al mondo; ma è quello che faccio io e che mi fa sentire abbastanza tranquillo. Ho verificato usando Recuva in modalità d’analisi profonda e non sono stato in grado di recuperare i dati da /sdcard; in ogni caso, non ho modo di confermare per la partizione /data. Sto solo ipotizzando che funzioni altrettanto bene come per la scheda SD interna.

Questo processo comprende essenzialmente due fasi

  1. Formattazione memoria
  2. Zeroing /sdcard e /data

Quindi, iniziamo…

Fase 1 – Formattazione memoria

Operazione piuttosto semplice e quando si acquista un telefono usato online, è probabile che l’altro utente abbia protetto i dati; il che, vi assicuro, non è granché. Tutto questo per dire al sistema operativo che dove una volta erano presenti i vostri dati, ora sono “scrivibili”, in modo che il sistema operativo possa scrivervi ancora. Se doveste usare uno strumento come Recuva dopo l’esecuzione del Ripristino dati di fabbrica, sarete in grado di recuperare gran parte dei file. Questo non riguarda solo Android: si applica a tutti i supporti per l’archiviazione, anche se non tanto ai media con Flash come i dischi rigidi. La ragione per cui ho usato questo come punto di partenza è informare l’SO che tutto è “disponibile” per la scrittura, che è ciò che vogliamo. Per fare questo è possibile utilizzare il recupero, o andare su Impostazioni> Backup e Ripristino> Ripristino dati di fabbrica e lasciare che l’SO faccia il suo dovere .

Fase 2 – Zeroing /sdcard e /data

Ora che abbiamo reso scrivibili tutti i dati sul dispositivo, è il momento di iniziare l’”azzeramento”. Ciò significa, essenzialmente, scrivere degli 0 sui dati che abbiamo precedentemente contrassegnato come “scrivibili”. Se qualcuno tentasse di ripristinare i dati, recupererebbe degli 0 e non i vostri dati personali. Sugli HDD più vecchi sarebbe una buona idea farlo più volte ma molti esperti hanno suggerito che un solo passaggio è sufficiente nei media con flash.

La prima cosa che vorrete fare è lanciare l’SDK di Android utilizzando la riga di comando e passare alla cartella platform-tools dove troverete fastboot e adb . Si trova in /androidsdk/platform-tools.

Quando sarete negli strumenti della piattaforma eseguite il seguente comando:

./adb devices

Se otterrete una schermata con un numero di serie siete a posto: significa che il computer riesce a leggere il telefono. Se non otterrete nulla, andate in impostazioni per sviluppatori e abilitate Debug USB

Quando il telefono e l’SDK comunicheranno, digitate il seguente comando per accedere alla shell del dispositivo:

./adb shell

Dovreste avere un bash, come mostrato nell’immagine sotto :

Screen Shot 2013-02-16 at 1.10.14 PM

Non appena sarete nella riga di comando del vostro telefono, eseguite il seguente comando:

dd if=/dev/urandom of=/sdcard/junkfile

Non otterrete risposta per un po’: in sostanza, verrà creato un file pieno di dati casuali sulla scheda SD del vostro telefono fino a quando non sarà completamente piena; a quel punto si fermerà. Potrete verificare andando in Impostazioni> Memoria e guardando la % libera sulla scheda SD che continua a diminuire.

Quando il processo sarà completato, dovreste avere un messaggio simile al seguente, che descrive la quantità di spazio scritto. Dovrebbe essere pari alla dimensione della vostra scheda SD.

Screen Shot 2013-02-16 at 5.01.55 PM

Una volta che il processo sarà completo, proveremo a ripetere la stessa riga, con una leggera modifica, come segue:

dd if=/dev/urandom of=/data/junkfile

Questo creerà un altro junk file sul vostro dispositivo con dati casuali, ma non sarà in /sdcard, bensì in /data. /data, dove sono memorizzate tutte le impostazioni delle vostre varie app. Per verificare che questo processo fosse ancora in esecuzione, ho aperto una nuova finestra del terminale e ho usato la shell ./adb per eseguire ls -all -h per guardare la dimensione del file che continuava a crescere, come illustrato di seguito:

Screen Shot 2013-02-16 at 4.59.52 PM

Potrete vedere la dimensione del “junkfile” andare da 600MB a 1.5GB. Una volta che la cartella /data sarà completamente piena, non solo otterrete una conferma sulla shell ma il vostro dispositivo Android dovrebbe mandarvi un messaggio nella finestra di notifica che la partizione dati è piena e che le funzioni di sistema potrebbero essere compromesse, per una volta questo è bene!

Quindi, a questo punto, avrete correttamente saturato le vostre cartelle /data e /sdcard, le due principali aree in cui le informazioni personali sono memorizzate su Android, con un mucchio di dati casuali.

Il passo successivo, e finale, del processo è quello di tornare semplicemente al punto 1 e fare Ripristino dati di fabbrica per l’ultima volta. Questo marcherà i dati come “scrivibili” e regalerà al nuovo proprietario del vostro dispositivo un’esperienza da “nuovo telefono”. Non è necessario, suppongo, ma immagino che l’acquirente del telefono non prenderebbe troppo bene il fatto di trovare, all’accensione, un telefono pieno di messaggi di errore. ;)

Non sono esperto, però, come ho detto prima, usando software di recupero non sono stato in grado di recuperare i dati dal mio HTC One X, quando l’ho venduto; quindi direi che questo metodo è piuttosto comodo per ripulire il dispositivo del 99,9% degli utenti là fuori.

Un po’ sopra le righe? Sicuramente. Esattamente come piace a me!

Fonte: Secure Erasing Android Devices Guide for the Super Paranoid Seller


Posted in Traduzioni inglese-italiano, Zackery Fretty and tagged , , by with no comments yet.

Malware per Android si finge il gioco Angry Birds Space

Il post seguente è stato tradotto per gentile concessione di Naked Security

Angry Birds Space Gli autori di malware di Android hanno colto l’occasione d’infettare gli ignari utenti di smartphone con il lancio dell’ultima novità dell’immensamente popolare serie di giochi “Angry Birds”.

SophosLabs, recentemente, ha incontrato versioni affette da malware del gioco “Angry Birds Space” inserite in Android app store non ufficiali. Si noti: la versione di “Angry Birds Space” nel market ufficiale di Android (recentemente rinominato “Google Play”) *non* ne è affetta.

Il cavallo di Troia, che Sophos rileva come Andr/KongFu-L, pare essere una versione completamente funzionante del popolare gioco per smartphone; ma utilizza l’exploit GingerBreak per ottenere l’accesso root al dispositivo e installare codice dannoso.

Il trojan comunica con un sito web remoto nel tentativo di scaricare e installare ulteriore malware sullo smartphone Android compromesso.

Telefono Android con trojan che finge di essere Angry Birds SpaceTelefono Android con trojan che finge di essere Angry Birds Space

Interessante notare che il malware nasconde il suo payload: sotto forma di due file ELF dannosi, alla fine di un file immagine JPG.

Codice nascosto al termine di file JPGCodice nascosto al termine di file JPG

Piazzato il malware, ora i cibercriminali possono inviare istruzioni ai dispositivi Android compromessi per poter scaricare ulteriore codice, o forzare URL da visualizzarsi nel browser dello smartphone.

In effetti, il vostro telefono Android ora è parte di una botnet, sotto il controllo di hacker malintenzionati.

Pare che dovremmo continuare a ricordare agli utenti Android di stare in guardia contro i rischi del malware, e di stare molto attenti, in particolare durante il download di applicazioni da market non ufficiali di Android.

Fonte: Android malware poses as Angry Birds Space game


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , by with no comments yet.

Android: la funzione “Wipe” può lasciare tracce di dati

Il post seguente è stato tradotto per gentile concessione di Hatforce

La funzione di Android “factory data reset”, ​​dovrebbe rimuovere tutti i dati privati ​​da un dispositivo. Ma è realmente così? Come rivelato dall’azienda di sicurezza IT “Hatforce”, è possibile recuperare i dati cancellati da molti telefoni Android. Quando un telefono viene venduto, l’acquirente potrebbe ottenere l’accesso ai dati personali del proprietario precedente, come fotografie, dati delle applicazioni o password memorizzate: anche se il precedente proprietario ha effettuato il “wipe” del dispositivo come raccomandato da molti siti web.

Sebbene i dati “cancellati” non siano più accessibili tramite le normali procedure, sono ancora presenti nella memoria del dispositivo. Utilizzando software speciali, il nuovo proprietario può accedere alla memoria e leggerne i contenuti. Hatforce descrive i dettagli tecnici nel blog aziendale [1] . “Sfortunatamente, non c’è alcun modo semplice per eliminare in modo sicuro tutti i dati personali su molti telefoni Android”, dice Jan Schejbal, il membro del team Hatforce che ha scoperto il problema.

Hatforce ha informato il team di sicurezza Android in merito alla questione. Non è chiaro quali dispositivi siano interessati: il test è stato eseguito su un Google/Samsung Nexus S con Android 2.3.6. Il codice sorgente indica che le versioni più recenti Honeycomb e ICS (3.x e 4.x) effettuano un wipe sicuro della memoria durante il factory data reset.

Tuttavia, questi sistemi più recenti, rappresentano, attualmente, solo il 5% circa dei dispositivi [2].

Hatforce ( https://www.hatforce.com ) è la prima startup mondiale che effettui test di sicurezza crowd-sourced. I servizi comprendono pentest di applicazioni web e mobili. Sin dal suo lancio, Hatforce, ha ottenuto feedback ampiamente positivi, in particolare dalla rivista Forbes: “Questo servizio è un colpo di genio [...] Un’idea di business grandiosa che potrebbe rappresentare un’enorme differenza, per sapere quanto la vostra applicazione, e il vostro brand, siano sicuri.”


Cordiali saluti,

Il team Hatforce
[1] https://www.hatforce.com/blog/android/wipe

[2] http://developer.android.com/resources/dashboard/platform-versions.html

Fonte: Android: “Wipe” feature can leave data


Posted in Hatforce, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Malware mobile: perché i truffatori sono due passi avanti

Il post seguente è stato tradotto per gentile concessione di Trusteer

Cattive notizie: i truffatori hanno tutti gli strumenti necessari per trasformare efficacemente il malware mobile nel più grande problema di sicurezza mai riscontrato. Manca solo una cosa: la scelta del cliente. Il numero degli utenti che usano il banking online dai propri dispositivi mobili, è ancora relativamente basso. Inoltre le transazioni sui siti web di molte banche non sono ancora abilitate ai dispositivi mobili. Dal momento che le frodi online sono principalmente basate sui grandi numeri, attaccare gli utenti del banking mobile non è ancora una frode efficace. Ma aspettatevi un cambiamento. Ad un anno da ora, tutto sarà completamente diverso, quando molti più utenti inizieranno a utilizzare il banking dal proprio telefono cellulare e i truffatori passeranno alle maniere forti.

Trusteer ha calcolato che entro 12/24 mesi, 1 telefono Android ( ma anche iPad/iPhone) su 20 (5,6% ) potrebbe essere infettato con il malware mobile, se i truffatori cominceranno ad integrare le vulnerabilità mobili zero-day in exploit kit importanti.

Il paradiso dei truffatori: Google Android

L’architettura di sicurezza di Android non è all’altezza della sfida. Soprattutto per quanto riguarda la facilità di creare potenti applicazioni fraudolente e la facilità nel distribuirle. I truffatori possono facilmente creare applicazioni che hanno accesso a risorse sensibili del sistema operativo, come i messaggi di testo e voce, la posizione geografica e molto altro ancora. Agli utenti che installano una di queste applicazioni, comparirà un messaggio con un elenco delle risorse alle quali l’applicazione richiederà l’accesso; ma, generalmente, verrà ignorato, visto che molte applicazioni richiedono l’accesso a un ampio elenco di risorse. Creare una potente applicazione fraudolenta per Android che rubi ed abusi della vostra identità e del vostro conto in banca, è quasi banale. Distribuire queste applicazioni sull’Android Market è ancora più banale.

Non vi sono controlli reali dell’intero processo di upload, che potrebbero identificare e impedire la pubblicazione di applicazioni dannose in questi store. Rispetto all’App Store di Apple, l’Android Market è il selvaggio West. Non ci si può sempre fidare delle applicazioni che si scaricano.

I truffatori ​​hanno già iniziato ad abusare di questa grande falla nella sicurezza. Dozzine di applicazioni dannose sono già state individuate nell’Android Market. Google ne ha rimosso la maggior parte ma altre continuano ad arrivare. Trusteer ha identificato applicazioni pericolose sull’Android Market che sono rimaste per settimane prima di essere rimosse da Google.

L’utente medio fatica a individuare questa pagina , che permette di richiedere a Google di analizzare e rimuovere le applicazioni inappropriate dall’Android Market.
Ma non aspettatevi che Google reagisca velocemente a ciò che avete inviato tramite questo modulo. Lo abbiamo usato alcune volte senza risultati.
Per rimuovere un’applicazione dal Google Market, in realtà, abbiamo dovuto utilizzare contatti interni a Google, che non sono disponibili all’utente medio. Il processo di identificazione e rimozione delle applicazioni dannose dall’Android Market, richiede importanti miglioramenti.

La maggior parte delle applicazioni dannose che hanno colpito Android non sono finanziarie. Tuttavia, nel maggio di quest’anno, abbiamo visto il (già noto) malware Man in the Mobile (MitMo) che aveva già attaccato i telefoni Symbian, Blackberry e Windows in fase di porting per Android. Questo attacco è stato progettato per bypassare l’SMS Out of Band (OOB) dei processi di autenticazione e di verifica delle transazioni delle banche. La prossimità di questo attacco con la recente guida FFIEC che consiglia alle banche di prendere in considerazione, tra gli altri, l’Out of Band per combattere gli attacchi di malware, risulta ironico. Dimostra esattamente perché i truffatori sono due passi avanti.

Per chi non sapesse come funzioni OOB, ecco una breve descrizione: l’idea generale è quella di combattere il malware che infetta la macchina dell’utente. Quando l’utente accede al sito di una banca da un PC infetto da malware finanziario come Zeus o SpyEye, il malware s’impossessa della sessione web e inietta transazioni fraudolente per conto dell’utente. Con OOB attivato, la banca invia un messaggio di testo al numero di telefono pre-registrato dell’utente. Il messaggio include i dettagli della transazione e un codice di verifica. L’utente dovrà copiare il codice di verifica dal dispositivo mobile al browser del PC. Il presupposto è che se la transazione è stata generata dal malware, l’utente non completerà il processo e non copierà il codice di conferma nel browser; di conseguenza la banca non approverà la transazione.

L’attacco MitMo fa cadere questo presupposto: quando l’utente viene infettato e cerca di accedere al sito web della banca, il malware entra in gioco e chiede all’utente di scaricare un’autenticazione, o un componente di sicurezza sul dispositivo mobile per completare il processo di login. L’utente crede, erroneamente, che questo messaggio provenga dalla banca, mentre in realtà proviene dal malware.Quando l’utente installa il malware sul dispositivo mobile, i truffatori controllano sia il PC dell’utente che il telefono. Successivamente il ​​malware genera una transazione fasulla per conto dell’utente. La banca invia un messaggio di conferma al dispositivo mobile dell’utente. Il malware legge il messaggio di conferma e lo invia al malware sul PC. Quindi, elimina il messaggio di conferma dal dispositivo mobile in modo che l’utente non lo veda. Il malware sul PC inserisce il codice di conferma e approva la transazione.

Ciclo d'attacco MitMo

Il malware per Android diffuso a maggio di quest’anno, è di diversi tipi. In uno si utilizzava anche il marchio Trusteer per guadagnare la fiducia degli utenti e convincerli a scaricare l’applicazione. Lo stesso malware è stato usato insieme a Zeus 2.1.0.10. Il pc dell’utente è stato prima infettato da Zeus, che successivamente mostrava il messaggio per scaricare il componente malware di Android.

Applicazione Android fraudolenta che utilizza MitMo e abusa del marchio Trusteer

Chi ha già scaricato Trusteer Rapport è protetto da questo tipo di attacco.

Apple iOS non è così sicuro come si possa pensare

IOS è il sistema operativo dell’iPad iPhone e iPod. Con il malware per iOS, è una storia leggermente diversa. Non è facile creare applicazioni dannose che abbiano accesso alle risorse del dispositivo, visto che iOS effettua rigorosi controlli sull’accesso alle applicazioni. Non è nemmeno facile immettere applicazioni pericolose sull’App Store, visto che Apple effettua una revisione manuale di ogni applicazione presentata, che permette di rilevare applicazioni illegali.

Tuttavia, c’è una falla in questa architettura di sicurezza e si chiama jailbreaking. Un dispositivo IOS con il jailbreaking non impone il controllo degli accessi e permette, in pratica, a qualsiasi app di fare ciò che vuole sul dispositivo. Purtroppo molti utenti effettuano il jailbreak dei propri dispositivi, visto che vogliono eseguire tipi di applicazioni che non sono su App Store. Ma cosa ancor più grave è che le vulnerabilità di IOS potrebbero consentire a siti Web dannosi di effettuare il jailbreak del dispositivo e infettarlo con malware senza il consenso, o la consapevolezza dell’utente. La scorsa settimana abbiamo visto un buon esempio proprio di questo.

JailbreakMe.com ha pubblicato un exploit che permette il jailbreaking automatico dei dispositivi IOS da un sito Web appositamente creato. I file PDF che sfruttano questa vulnerabilità, sono liberamente disponibili. Anche fare clic su un documento in formato PDF, o navigare su un sito web che contenga documenti PDF, è sufficiente per infettare il dispositivo mobile con il malware. Ora, il concetto di siti web dannosi che sfruttino gli exploit per infettare dispositivi endpoint, è ben noto ai truffatori. Il famigerato BlackHole exploit kit e altri, quali Fragus e Neosploit, automatizzano questi processi. BlackHole è estremamente pericoloso e ampiamente utilizzato in quanto distribuito gratuitamente. Milioni di siti sono stati compromessi per eseguire questi exploit kit.

Quando gli utenti accederanno ad uno di questi siti web compromessi, verranno infettati dal malware. I truffatori possono utilizzare lo stesso exploit kit per qualsiasi parte del malware. Quando gli autori di BlackHole aggiungeranno le vulnerabilità IOS al loro kit, assisteremo a un rapido aumento della distribuzione di malware sui dispositivi IOS. Questa recente vulnerabilità non è la prima che abbia permesso ai truffatori di compromettere dispositivi IOS e non sarà l’ultima. Stiamo osservando solamente l’inizio del problema.
I truffatori continueranno ad analizzare IOS e ne scopriranno vulnerabilità, che permetteranno loro di compromettere i dispositivi e commettere frodi. Spero di sbagliarmi, ma ad un anno da ora, tutto questo potrebbe diventare così comune da non fare nemmeno notizia.

Conclusione

Solo negli Stati Uniti, il 50% dei telefoni cellulari sono smartphone, con Android e iPhone veri leader del mercato. In aprile di quest’anno, un sondaggio tra gli utenti di smartphone del Solutions Research Group con sede a Toronto, l’ha dimostrato e ha mostrato che il 38% usa un’applicazione bancaria.

Questi due numeri sono in costante aumento e stanno per diventare abbastanza grandi affinché i truffatori inizino ad usare le maniere forti.

Tutti gli elementi essenziali sono presenti: i truffatori vanno alla ricerca di vulnerabilità per IOS e Android, possiedono exploit kit efficaci per automatizzare il processo, compiono operazioni su larga scala che compromettono siti web e li costringono a distribuire malware e hanno malware per cellulari che può commettere frodi. A mio parere, tutto questo porta ad una conclusione: stiamo per affrontare uno tra i peggiori problemi di sicurezza che sia mai esistito e non passerà molto tempo prima che avvenga.

Le soluzioni anti-malware per la telefonia mobile rappresentano difficilmente la risposta a questo problema. Queste soluzioni non sono molto diverse rispetto alle loro controparti per PC. Sono basate sull’analisi delle applicazioni installate sul dispositivo e un elenco di note applicazioni dannose. Questo tipo di soluzione non è scalabile quando il numero di applicazioni dannose aumenta vertiginosamente. Visto l’aumento del malware mobile, stiamo per affrontare lo stesso problema delle soluzioni per gli antivirus desktop: bassa efficacia.

Si rende necessaria una soluzione diversa, con un approccio diverso alla sicurezza mobile: che impedisca a questi dispositivi d’infettarsi e possa proteggere la comunicazione mobile con le banche dal malware che, eventualmente, dovesse finire sul dispositivo. Questo principio è stato usato con successo da Trusteer Rapport per proteggere 150 banche in tutto il mondo e ora è disponibile per IOS e Android. Trusteer Mobile sarà lanciato entro la fine dell’anno, in collaborazione con alcune importanti banche e sta per cambiare il modo in cui le banche e i loro clienti pensano la sicurezza mobile.

Raccomandazioni per rendere sicuro il mobile banking:

  1. Controllate la reputazione, le recensioni degli utenti ed i commenti di ogni applicazione mobile che scaricate. Evitate le applicazioni con un basso punteggio, quelle nuove, o con recensioni negative.
  2. Prestate attenzione ai permessi richiesti dalle applicazioni Android quando le installate. Le applicazioni che chiedano l’accesso ai messaggi di testo e ad altre informazioni sensibili, dovrebbero mettervi in allarme e farvi compiere ulteriori ricerche prima di scaricarle
  3. Proteggete il vostro PC con un software di sicurezza per l’online banking come Trusteer Rapport, che potrete scaricare dal sito della vostra banca. Questo software può bloccare gli attacchi MitMo, impedendo ai truffatori di controllare il canale web.
  4. Installate regolarmente gli aggiornamenti per il vostro dispositivo mobile

Calcolo dei tassi di infezione degli smartphone per gli exploit zero day

Le statistiche Trusteer di giugno 2011 mostrano che ogni giorno un utente su 1500 accede a un sito web infettato con l’exploit kit BlackHole. Ogni giorno, 667 utenti su un milione accederanno all’exploit kit BlackHole . Ipotizzando che l’exploit kit BlackHole integri una vulnerabilità zero day, come la recente JailbreakMe, ciò indica 667 utenti infetti al giorno su 1 milione. Ipotizzando che ad Apple o Google serva una settimana per risolvere la vulnerabilità e in media 2 settimane agli utenti per aggiornare il proprio cellulare con una nuova release, ciò indica una media di 21 giorni di esposizione, in cui 14.000 utenti su un milione vengono infettati con l’attacco zero day. Ipotizzando 4 exploit zero day in un anno, arriviamo a 56.000 infezioni all’anno per milione di utenti, pari al 5,6%: un numero estremamente elevato.

Fonte: Mobile Malware: Why Fraudsters Are Two Steps Ahead


Posted in Traduzioni inglese-italiano, Trusteer and tagged , , by with no comments yet.

Delle minacce di Android: Spyware:Android/SndApps.A e Trojan:Android/SmsSpy.D

Il post seguente è stato tradotto per gentile concessione di F-Secure

Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.

Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.

Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:

permissions_internet (104k image)

Le versioni successive, però, tendono ad andare un po’ più sul personale:

application_permissions (47k image)

new_permissions (169k image)

Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.

services (92k image)

Le informazioni vengono inviate a un server remoto.

Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.

applications (66k image)

La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:

comparison (56k image)

Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A

Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.

Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.

In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.

Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:

smsspy_loopback (131k image)

Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C

In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:

smsspy_link (160k image)

Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D

—–

Analisi e post di: Zimry, Irene, Raulf e Leong

Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Malware di Android spia i vostri messaggi sms. Ma fa parte della famiglia di Zeus?

Il post seguente è stato tradotto per gentile concessione di Naked Security

Malware di Android I moduli Symbian , Windows Mobile e Blackberry del famigerato toolkit di malware Zeus (noto anche come ZBot), sono noti da mesi ed era chiaro che la gang di Zeus fosse interessata allo sviluppo di malware per piattaforme mobili.

Tuttavia, finora, non abbiamo visto alcuna prova che Zeus prenda di mira gli utenti che possiedono dispositivi Android o IOS (iPhone/iPad).

Questo fatto ci ha abbastanza sorpreso, considerando la popolarità delle piattaforme Android e IOS e la crescente diffusione di malware scritti in particolare per il sistema operativo Android di Google.

Negli ultimi due giorni, però, ci sono state parecchie discussioni sulle mailing list dedicate all’analisi del malware mobile in merito a una versione Android di Zeus.

Alla fine siamo giunti alla conclusione che si trattasse di un’applicazione nociva che i prodotti Sophos rilevano, già dal 31 maggio 2011, come Andr/SMSRep-B .

L’applicazione nociva finge di essere una versione Android del software di sicurezza bancaria Trusteer Rapport ed è stata inviata ai dispositivi con l’SO Android di Google da un web server creato per distribuire il malware Zbot a diverse piattaforme.

Dopo il fatto, non è stato difficile connettere l’applicazione Android allo Zeus toolkit, anche se non siamo certi al 100% che ci fosse una connessione.

L’applicazione installata utilizza un’icona rubata a Rapport e mostra una semplice schermata quando viene lanciata sul dispositivo colpito.

Zeus Rapport

La falsa applicazione Rapport si registra come Broadcast receiver, intercetta tutti gli SMS ricevuti e inoltra i messaggi a un server web nocivo mediante richieste HTTP POST. I messaggi SMS rubati sono codificati utilizzando uno schema di codifica JSON, spesso utilizzato da vari servizi web.

Anche se l’applicazione è chiaramente progettata per sottrarre il contenuto dei messaggi SMS, non è molto elaborata.

Per questo non possiamo essere sicuri al 100% che sia realmente parte del kit Zeus. L’URL del server command and control è hardcoded nel codice sorgente, ad esempio, e ciò non rende l’applicazione molto versatile per essere installata su un server alternativo.

Tuttavia, questa applicazione nociva per Android è interessante, in quanto combina le funzionalità spyware con il concetto di software di sicurezza fasullo. Come abbiamo visto di recente nel mondo di Mac OS X, il falso software antivirus è uno dei temi più comuni adottato dagli hacker malintenzionati durante i loro attacchi.

Alla fine il dubbio se questo faccia realmente parte della famiglia Zeus o meno, rimane.

Suppongo che solo gli sviluppatori dello Zeus kit lo sappiano per certo. Purtroppo non ho modo di contattarli e anche se l’avessi, dubito che sarebbero disposti a confermare o smentire questa teoria.

Fonte: Android malware spies on your SMS messages – but is it part of the Zeus family?


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , , by with no comments yet.

Un altro malware per Android utilizza un root exploit

Il post seguente è stato tradotto per gentile concessione di F-Secure

È stato scoperto un altro malware per Android che usa il root exploit “Rage Against The Cage” e lo abbiamo identificato come Trojan:Android/DroidKungFu.A .

Questo nuovo malware era integrato in un’applicazione trojan che potrebbe richiedere un accesso di root per non essere visibile.

L’infezione avviene in due parti:

Infezione: Parte 1

La prima parte consiste nell’installazione di un’applicazione trojan che otterrà i privilegi di root e installerà l’applicazione com.google.ssearch . Questa applicazione punterà al service component Trojan: Android/DroidKungFu.A che attiverà il servizio com.google.ssearch.Receiver.

Dopo averlo creato, chiamerà la funzione getPermission () che installerà un APK embedded.

droidkungfu_create (47k image)

droidkungfu_getpermission (56k image)

Questo richiamerà checkPermission (), che controllerà se com.google.ssearch.apk sia già presente. In caso contrario verrà installato il file “legacy”, un file APK, in “system/app” (la cartella dell’applicazione).

Infezione: Parte 2

La seconda parte ha a che fare con il componente principale del malware, com.google.ssearch.apk. Come potremmo ricordare, questo componente era presente anche nell’applicazione col trojan.

Ecco una schermata che mostra com.google.ssearch.apk installato.

droidkungfu_screen (194k image)

Il malware sembra avere una funzionalità di backdoor. Ecco alcune delle capacità che abbiamo notato:

  • execDelete – eseguire un comando per cancellare un file
  •  

  • execHomepage – eseguire un comando per aprire una pagina
  •  

  • execInstall – scaricare e installare un APK
  •  

  • execOpenUrl – aprire un URL
  •  

  • execStartApp – eseguire o avviare un pacchetto applicativo
  •  

Trojan: Android/DroidKungFu.A potrebbe ottenere le seguenti informazioni e inviarle a un server remoto:

  • imei – numero IMEI
  •  

  • ostype – versione build, ad esempio 2.2
  •  

  • osapi – versione SDK
  •  

  • mobile – numero di cellulare degli utenti
  •  

  • mobilemodel – modello del telefono
  •  

  • netoperator – Operatore di rete
  •  

  • nettype – Tipo di connettività di rete
  •  

  • managerid – un valore hard-coded che è “sp033″
  •  

  • sdmemory – memoria disponibile della scheda SD
  •  

  • aliamemory – memoria disponibile nel telefono
  •  

Root è impostato a 1, come per significare “con root” e queste informazioni vengono inviate successivamente a “http://search.gong [...]. php.”

Il malware riceve i comandi da “http://search.gong [...]. php” mediante il posting nell’ “imei”, “managerid” e il valore di root.

Inoltre segnala lo stato dei comandi su “http://search.gong [...]. php” mediante il posting in “imei”, “taskid”, “state” e “comment”.

Soluzioni inviate da Zimry

Fonte: Another Android malware utilizing a root exploit


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.

FaceNiff – rendere FireSheep mobile – effettuare sniffing e intercettare sessioni web con Android

Il post seguente è stato tradotto per gentile concessione di Darknet

FaceNiff è un’applicazione per Android che consente di effettuare lo sniffing e intercettare i profili delle sessioni web alle quali il vostro cellulare è connesso.
È possibile effettuare l’hijack delle sessioni solamente quando il WiFi non utilizza EAP, ma dovrebbe funzionare su tutte le reti private (Open/WEP/WPA-PSK/WPA2-PSK).

È un po’ come Firesheep per Android, ma probabilmente un po’ più facile da usare (e funziona su WPA2!).

Da notare che è richiesto un telefono con privilegi di root. Se l’utente web utilizza SSL questa applicazione non funzionerà. Per sua natura è molto telefono-dipendente quindi, per favore, fate sapere all’autore se non funziona.
C’è un bel demo video di come funzioni qui:

Servizi supportati:

  • FaceBook
  • Twitter
  • Youtube
  • Amazon
  • Nasza-Klasa

È possibile scaricare FaceNiff qui:
FaceNiff-1.9.4.apk

Oppure per maggiori informazioni leggete qui .

Fonte: FaceNiff – Taking FireSheep Mobile – Sniff & Intercept Web Sessions With Android


Posted in Darknet, Traduzioni inglese-italiano and tagged , by with no comments yet.

Falla di sicurezza potrebbe interessare il 99% degli smartphone Android

Il post seguente è stato tradotto per gentile concessione di Naked Security

Android smartphone Secondo alcuni ricercatori tedeschi, il 99% dei dispositivi Android potrebbe essere a rischio a causa di una vulnerabilità che potrebbe consentire a soggetti non autorizzati di curiosare sul vostro Google Calendar ed i vostri contatti.

La scoperta dei ricercatori dell’Università di Ulm, porta alla luce un serio problema di privacy e sottolinea la difficoltà che molti possessori di smartphone Android sembrano affrontare nel mantenere i loro sistemi operativi aggiornati.

Secondo il paper di Bastian Konings, Jens Nickels e Florian Schaub, dal titolo “Intercettare AuthTokens in the Wild: l’insicurezza del protocollo ClientLogin di Google”, in Android 2.3.3 e precedenti, le app del ​​calendario e dei contatti trasmettono informazioni “in chiaro” via HTTP e recuperano un authentication token (authToken) da Google.

Ciò significa che c’è la possibilità per i criminali informatici di intercettare il traffico WiFi e rubare l’authToken che lo smartphone ha appena generato.

Sniffing di un authToken di Wireshark

Visto che gli authToken possono essere utilizzati per diversi giorni anche per richieste successive, gli hacker possono sfruttarli per accedere a quelli che dovrebbero essere servizi ​​e dati privati, come il vostro calendario online. Inoltre, gli authToken generati non sono legati a un particolare telefono, di conseguenza possono essere facilmente utilizzati per spacciarsi per un dispositivo diverso.

Bleah!

Lo scenario è un vero problema se si utilizza un hotspot WiFi in chiaro (come quelli comunemente disponibili nelle hall degli alberghi, aeroporti, o coffee shop all’angolo della strada).

Secondo i ricercatori, Google ha risolto il problema con Android 2.3.4. Ma questo è il problema. Quante persone usano ancora le vecchie versioni di Android OS?

Uso della piattaforma Android OS

Circa il 99% degli utenti di Android sono vulnerabili, in quanto non hanno aggiornato almeno alla versione 2.3.4 (nome in codice “Gingerbread”).

Gingerbread Purtroppo non è sempre possibile aggiornare, visto che dipende dal produttore del cellulare e dal carrier che fornisce l’aggiornamento over the air.

C’è una vasta gamma di smartphone Android in circolazione e laddove Apple sia in grado di rilasciare un singolo aggiornamento IOS per iPhone e iPad, le cose non sono così semplici per gli utenti di Google. Questa frammentazione lascia, inevitabilmente, i dispositivi Android vulnerabili a problemi di sicurezza.

Fortunatamente Google sembra essere consapevole di questo problema e dice che lavorerà a più stretto contatto con produttori e carrier per garantire che, in futuro, gli utenti possano ricevere gli ultimi aggiornamenti.

Ma cosa dovresti fare se fossi il proprietario di un sistema con Android?

Il mio consiglio sarebbe quello di effettuare l’aggiornamento all’ultima versione, se possibile.

Inoltre, non utilizzare reti WiFi aperte, visto che le comunicazioni potrebbero non essere adeguatamente protette. Se siete preoccupati di quest’ultimo problema di sicurezza sarebbe saggio connettersi a Internet via 3G dal proprio smartphone, piuttosto che tramite connessioni WiFi pubbliche non cifrate.

Utilizzare 3G potrebbe incidere sul vostro piano tariffario, ma è molto meno probabile che le vostre comunicazioni vengano intercettate.

Fonte: Security hole could affect 99% of Android smartphones


Posted in Naked Security, Traduzioni inglese-italiano and tagged by with no comments yet.