Il malware Android scoperto da Hacking Team

La pirateria di Hacking Team, il fornitore italiano di strumenti di infiltrazione delle reti, ha sprigionato liberamente delle informazioni sensibili sugli strumenti di attacchi informatici sviluppati dalla società. La situazione è quindi molto allarmante, soprattutto considerando che questo rappresenta delle risorse importanti che i pirati potrebbero sfruttare per lanciare nuovi attacchi. Sebbene la fuga di dati di Hacking Team ha svelato delle falle critiche nella tecnologia Flash di Adobe, nessun editor di software può pretendere di essere al riparo, ancora meno Google con il suo sistema operativo Android.

La dimostrazione è che i ricercatori del brand di sicurezza Trend Micro hanno rilevato un’applicazione Android malware, in grado di oltrepassare i controlli di sicurezza di Google e di infiltrarsi nel Play Store. Wish Wu, ingegnere Trend Micro, spiega tramite un blog che il suo team ha trovato il codice dell’applicazione malware nei dati estrapolati dalla pirateria di Hacking Team. Il codice, accompagnato anche da una documentazione, sarebbe stato venduto ai clienti di Hacking Team per consentire loro di far passare i loro malware tra le reti della sicurezza di Google Play.

Si tratta di una falsa applicazione di notizie chiamata BeNews, lo stesso nome del vecchio sito di notizie legittimo. L’applicazione richiede solamente tre permessi all’utente durante l’installazione e passa i controlli di sicurezza Google visto che non contiene niente di particolare nel suo codice iniziale. Ma una volta che viene installata e utilizzata sul dispositivo della vittima, l’app scarica ed esegue il resto del suo codice grazie alla tecnologia di download dinamica.

L’applicazione è stata scaricata meno di 50 volte prima di essere ritirata dal Google Play il 7 luglio. Tuttavia, Trend Micro pensa che Hacking Team potrebbe utilizzare la stessa tecnica per sviluppare altri software per i suoi clienti. Il rischio potrebbe quindi essere più elevato considerando poi che il codice sorgente e la documentazione associata sono ormai in circolazione. Potrebbero quindi cadere in mani sbagliate.

Secondo le analisi dei ricercatori di Trend Micro, il malware sfrutterebbe una vulnerabilità di elevazione di privilegi locali nel sistema operativo mobile di Google. Tutte le versioni da Android Android 2.2 Froyo a 4.4.4 KitKat sono vulnerabili a tale minaccia. Wish Wu pensa che altre versioni del sistema operativo potrebbero esserne affette.

Come disattivare le notifiche delle app su Android