Delle minacce di Android: Spyware:Android/SndApps.A e Trojan:Android/SmsSpy.D

Il post seguente è stato tradotto per gentile concessione di F-Secure

Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.

Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.

Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:

permissions_internet (104k image)

Le versioni successive, però, tendono ad andare un po’ più sul personale:

application_permissions (47k image)

new_permissions (169k image)

Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.

services (92k image)

Le informazioni vengono inviate a un server remoto.

Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.

applications (66k image)

La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:

comparison (56k image)

Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A

Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.

Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.

In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.

Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:

smsspy_loopback (131k image)

Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C

In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:

smsspy_link (160k image)

Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D

—–

Analisi e post di: Zimry, Irene, Raulf e Leong

Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D


Posted in F-Secure, Traduzioni inglese-italiano and tagged , , by with no comments yet.