Il post seguente è stato tradotto per gentile concessione di F-Secure
Il malware per Android sembra essere di gran moda al momento. Ecco alcuni commenti in merito ad un paio di interessanti questioni accessorie che sono sorte durante le nostre analisi.
Ecco la prima: c’è stato un report recente in merito ad applicazioni sospette trovate nell’Android Market ufficiale. Le app in questione, da allora, sono state ritirate ma il nostro threat hunting team s’è imbattuto in loro in forum e altri luoghi simili, generalmente promossi come ‘app gratuite’.
Le stesse applicazioni sembrano essere semplici giochi. Ad un certo punto, però, pare siano stati inseriti alcuni servizi aggiuntivi. Le versioni precedenti non richiedevano altro che l’accesso a Internet:
Le versioni successive, però, tendono ad andare un po’ più sul personale:
Dopo le modifiche, l’app è in grado di accedere a varie parti di informazioni del dispositivo: il carrier e il paese, l’ID del dispositivo, l’indirizzo e-mail e il numero di telefono.
Le informazioni vengono inviate a un server remoto.
Un’ulteriore modifica permette a questa app di inserire una piccola icona che, se si fa clic, porta l’utente ad altre app, che, presumibilmente, potrebbe voler provare. Le app pubblicizzate sembrano mostrare lo stesso comportamento sospetto.
La cosa interessante è che entrambe le versioni, sia la precedente “irrilevante” che la successiva “sospetta”, sembrano provenire dagli stessi sviluppatori:
Sembra essere un caso di nuovi comportamenti discutibili aggiunti in un secondo momento ad un’applicazione esistente e non un app riconfezionata con l’aggiunta di routine estranee e dannose. Ne stiamo ancora esaminando i vari aspetti, ma, per ora, in base al comportamento osservato rileviamo queste app come Spyware:Android/SndApps.A
Questo caso ci interessa, in quanto sembra essere un’evoluzione nello sviluppo di applicazioni Android, in particolare ‘greyware’. Questo tipo di comportamento sembra confermare una delle nostre previsioni precedenti, secondo la quale uno sviluppatore “fidato” sarebbe in grado di far uscire un aggiornamento contenente routine sospette/indesiderate/non etiche, che potrebbero invadere la privacy dell’utente.
Le nuove routine inserite potrebbero ottenere informazioni sugli utenti ed essere utilizzate per altri scopi, come l’invio di messaggi pubblicitari o spam. Nel peggiore dei casi, i dettagli possono essere venduti a terzi. Non avremmo modo di sapere cosa si stia facendo con le informazioni.
In un altro caso, ancora più recente, abbiamo discusso dello strano comportamento di un’altra app Android segnalata , questa volta un trojan.
Non aveva senso che il trojan intercettasse un messaggio SMS, per poi inviarlo ad un indirizzo di loopback:
Dalla nostra indagine pare che questa app possa essere un programma di test. Lo rileviamo come Trojan:. Android/SmsSpy.C
In ogni caso, uno dei nostri threat hunter ha trovato un file (SHA1: 7d8004b107979e159b307a885638e46fdcd54586) che sembra essere maggiormente utile:
Questo sembra aver più senso. Lo rileviamo come Trojan:Android/SmsSpy.D
—–
Analisi e post di: Zimry, Irene, Raulf e Leong
Fonte: On Android threats Spyware: Android/SndApps.A and Trojan:Android/SmsSpy.D