Il sistema operativo mobile di Google, Android, negli ultimi anni ha raggiunto quella maturazione che ha consentito questo di tenere lontano la minaccia costituita dai malware con capacità di rooting. 

Questa capacità consente ad un malware di ottenere il privilegio amministrativo all’interno del sistema operativo, ossia concede autorizzazioni al malware che gli consentono di eseguire azioni, di modificare impostazioni e persino installare altro software (malware). In questo modo si arriva al cuore del sistema, e garantisce al malware (e quindi all’attaccante) un controllo assoluto. 

La pericolosità di questo tipo di malware è estrema: questo arsenale consente ad un agente di minaccia di condurre attacchi micidiali e mirati, in particolare godendo della capacità di violare le informazioni sensibili e/o la privacy della vittima arrivando alla sorveglianza della stessa (audio, video, GPS, ecc). 

È del tutto evidente che la ricerca di nuove opportunità per questa forma di minaccia non sia stata abbandonata. Pertanto il periodo di calma apparente non è stato evidentemente sinonimo della definitiva esclusione della possibilità di questa minaccia. 

Ed il momento per questa terribile verità è giunto. Recentemente si è avuta evidenza di una nuova campagna operante mediante malware di rooting; è la prima da 5 anni a questa parte. Tracce di questa campagna sono state rinvenute in differenti store di prodotti per Android, a partire da Google Play dino ad importanti store terze parti come Amazon Appstore e Samsung Galaxy Store. 

Il nome del malware operante in questa campagna è AbstractEmu. 

Questo malware ha potuto agire prendendo di mira differenti recenti vulnerabilità di Android: si tratta di vulnerabilità del 2019 e 2020, tra cui CVE-2020-0041 (una violazione dei limiti durante una scrittura nel meccanismo IPC/RPC di Android che consente di scalare localmente il privilegio) e CVE-2020-0069 (anche in questo caso la possibilità di elevare localmente il privilegio a seguito di una scrittura oltre i limiti nella coda comandi di gestione di dispositivi fisici: questa vulnerabilità coinvolge i chip MediaTek utilizzati da decine di produttori). Queste vulnerabilità afferiscono così milioni di dispositivi, ed una simile campagna ha così “vento in poppa” per colpire indiscriminatamente l’utenza Android. 

Benché fenomeno diffuso in altre tipologie di campagne, la diffusione di AbstractEmu è resa possibile dalla cosiddetta trojanizzazione delle app (nascondere le funzionalità malevole sotto forma di applicazioni innocue). Mascherando così i suoi intenti malevoli, l’agente di minaccia induce l’utenza a scaricare la app trojanizzata ed attivarla sul proprio dispositivo. Questa strategia consente a malware come AbstractEmu di escludere dalle sue capacità sofisticate tecniche di exploiting zero-click da remoto (come invece usa il malware Pegasus): sarà l’utente a portare il malware a casa e attivarlo: comodo! 

Così sono state trovare ben 19 app connesse al malware, 7 delle quali con funzioni rooting. È stato altresì rilevato che più di 10000 utenti hanno scaricato una di queste app. I camuffamenti di AbstractEmu sono stati i più disparati: da gestori password a gestione consumo dati. Tutto per invogliare l’utenza al download. 

Gli analisti hanno prontamente avvisato Google e le app coinvolte sono state prontamente rimosse. Ma questo non riduce il rinnovato allarme, ed è solo l’esempio (rilevato) della persistenza di questa forma di minaccia. 

Cosa fare? Le solite cose di senso comune: mantenere sempre aggiornato il proprio dispositivo e selezionare attentamente cosa si scarica, abbandonando la “bulimia da app”: poche e selezionate app è meglio e più sicuro. 

Tweet