Il post seguente è stato tradotto per gentile concessione di F-Secure
Yeh, uno dei nostri analisti di Security Response, si è imbattuto in un interessante report su un forum cinese, durante il fine settimana, in merito a un’app Android che sostanzialmente trasforma il dispositivo in un hack-tool in grado di rubare dati da una macchina Windows collegata.
È riuscito a trovare un campione (MD5: 283d16309a5a35a13f8fa4c5e1ae01b1) per ulteriori indagini. Quando viene eseguito, il campione (lo rileviamo come Hack-Tool:Android/UsbCleaver.A) installa un’app chiamata USBCleaver sul dispositivo:

Quando viene lanciata, l’app, induce l’utente a scaricare un file ZIP da un server remoto:

Poi esegue l’unzip del file scaricato nella cartella /mnt/sdcard/usbcleaver/system. I file salvati sono essenzialmente utilità, usate per recuperare informazioni specifiche quando il dispositivo è collegato via USB a una macchina Windows. Nota: abbiamo individuato la maggior parte dei file con le rilevazioni più datate
I dati seguenti vengono catturati dal PC connesso:.
• Password del browser (Firefox, Chrome e IE)
• Password Wi-Fi del PC
• Informazioni di rete del PC
L’app offre all’utente la possibilità di scegliere quali informazioni voglia recuperare:



Per eseguire le utilità, il campione crea i file autorun.inf e go.bat in /mnt/sdcard. Quando il dispositivo è collegato a una macchina Windows, lo script autorun viene attivato, esegue il file go.bat in background, che, a sua volta, esegue i file indicati dalla cartella usbcleaver/system.
I dati raccolti sono memorizzati sul dispositivo in /mnt/sdcard/usbcleaver/logs. L’utente dell’app può fare clic sul pulsante ‘File di log’ per visualizzare le informazioni recuperate dal PC:

Questo non è il primo trojan Android, segnalato quest’anno, con la capacità d’infettare i PC; dato che quella ‘distinzione’ appartiene alla famiglia delle app trojan-spy, che rileviamo come Sscul (elencate nel nostro Q1 2013 report delle minacce mobili).
A differenza del malware Sscul, però, maggiormente focalizzato sulle intercettazioni remote, USBCleaver sembra essere progettato per facilitare un attacco mirato, tramite la raccolta d’informazioni utili per una successiva infiltrazione
Fortunatamente, la routine d’infezione Windows di UsbCleaver può essere bloccata da una semplice precauzione, standard di sicurezza negli ultimi due anni: disabilitando l’esecuzione automatica di default (lo standard sulle macchine Windows 7). Un ulteriore fattore attenuante è che i sistemi Windows più vecchi necessitano di driver mobili installati manualmente affinché questo attacco sia efficace.
————- ———
Analisi a cura di- Yeh
Lascia un commento