Il panorama Android è variegato: la particolare licenza di questo sistema ha consentito a ciascun produttore di dispositivi mobile di costruire la propria isola felice, stringendo attorno a sé la propria clientela con servizi specifici. Tra questi anche gli store per la distribuzione di software (app). Per questo motivo, quando si parla di Android e dei software disponibili, non si può prescindere dall’esistenza di differenti canali di distribuzione. Questo risulta in una difficoltà evidente nel tracciare la presenza di malware nel panorama Android quando questi vengano diffusi mediante trojanizzazione della app diffuse via store: è necessario eseguire ricerche per ciascuno store (Google, Samsung, Huawei, ecc). 

Questa volta è toccato all’AppGallery di Huawei, non nuova a queste minacce (in aprile furono individuate applicazioni contenenti il trojan Joker, infettando più di 500 mila dispositivi): il malware in questo caso è stato denominato Android.Cynos.7.origin. 

Il nome deriva dal fatto che Android.Cynos.7.origin è una variante della piattaforma malware Cynos per la trojanizzazione delle app Android, già nota agli analisti dal 2014. 

La trojanizzazione ha coinvolto differenti (190) app, risultando in una infezione di oltre 9 milioni di dispositivi. Le app coinvolte sono molto allettanti per bambini (giochi ti tutti i tipi, arcade, simulatori, platform, spara tutto): quindi è stato facile raggiungere questa utenza, non essendo necessario alcun particolare convincimento per scaricare tali app. Dall’osservazione della localizzazione delle app coinvolte, la campagna si è orientata su soggetti di lingua russa e cinese, ma non ha disdegnato l’utenza internazionale. 

Lo scopo vero della campagna malware è però tutt’altro che nel campo dell’intrattenimento giovanile: quello che Android.Cynos.7.origin intende fare è raccogliere i numeri di telefono degli utenti e i dati presenti nel loro dispositivo, probabilmente per il coinvolgimento degli stessi in campagne pubblicitarie (da cui trarne denaro) o peggio. 

Ad una utenza più attenta sarebbe dovuto sembrar strano il fatto che queste applicazioni ludiche richiedono l'autorizzazione per effettuare e gestire le telefonate: ma credete che questo è un avviso che fermerebbe un bambino dal proseguire con l’installazione del suo gioco? La scelta dell’app contaminate segue dunque una logica semplice ed efficace: si basa sulla probabilità che sia il bambino stesso ad agire sul dispositivo, in quanto un adulto farebbe altre scelte rispetto alle sue app; quindi, anche se il dispositivo fosse di proprietà di un adulto, l’installazione è fatta molto probabilmente in autonomia da bambini, che quindi ignoreranno qualsiasi avviso, come sempre più spesso accade nelle nostre case. 

Una volta concessa l’autorizzazione, il malware raccoglierebbe differenti informazioni: il numero di cellulare dell'utente, posizione del dispositivo (GPS o AccessPoint WiFi), codice di rete mobile e codice del paese, ID cella GSM, specifiche del dispositivo, i metadati provenienti dall’app stessa. Purtroppo esistono anche alcune varianti più aggressive: queste inviano o intercettano SMS, scaricano e attivano moduli extra o altre app. 

Su segnalazione degli analisti che hanno rilevato la minaccia, Huawei ha rimosso le app contaminate: ma questo è solo l’ennesimo caso un “rimedio a posteriori”: il malware ha già agito. 

I colossi del mondo mobile continuano a declamare i loro principi rispetto alla sicurezza dei propri utenti e ringraziare gli analisti di settore per le segnalazioni, ma sempre troppe volte tutto questo arriva a danno ormai fatto, e i ringraziamenti non fermano certo i malware scaricati su dispositivi di ignari utenti. Forse dovrebbero investire maggiore risorse nell’analisi preventiva dei prodotti esposti nei loro mercati e rimuovere “merce deteriorata” o “contraffatta”: nel mondo reale sarebbe un obbligo di legge: nel cyberspazio ancora no. 

Tweet