cajino, il malware che controlla remotamente Android (RAT) Passato inosservato per diversi mesi, è stato già scaricato 50.000 volte

<span class="entry-title-primary">cajino, il malware che controlla remotamente Android (RAT)</span> <span class="entry-subtitle">Passato inosservato per diversi mesi, è stato già scaricato 50.000 volte</span>
Nuovi rischi per la sicurezza informatica in ambito Android: alcune app malevole, diffuse sia sullo store ufficiale che su quelli “alternativi”, sono infatti in grado di prendere il controllo del sistema operativo allo scopo di sottrarre file presenti sul telefono della vittima. Il problema è stato evidenziato da Lukas Stefanko della ESET il quale ha messo in evidenza le caratteristiche di un nuovo tool per Android RAT (Remote Administration Tool). Utilizzando Baidu Cloud Push (il tool in cloud per la sincronizzazione dei file dell’utente), il malware è in grado di inviare comandi arbitrari al telefono della vittima e, come già accaduto in altre circostanze, è disponibile attraverso APK scaricati anche dallo store ufficiale Google Play. I RAT, ricordo brevemente, sono software malevoli in grado di controllare mediante comandi remoti il nostro telefono o tablet Android, ad esempio accedendo la webcam, consultando la rubrica, diffondendo dati privati e così via; non è la prima volta che si registra un caso del genere in ambiente Android.

Nonostante il canale di diffusione principale sia stato un sito di distribuzione APK non ufficiale (il nome di dominio variava in diverse situazioni a seconda dei casi: zhengcaiai, devzhemin520, su weiyu,devzhemin), il tool RAT è stato in grado di aggirare i controlli di Google Play, restando disponibile – secondo Stefanko – nell’app kmusic (attualmente dismessa dallo store, di probabile origine nord coreana) già scaricata almeno 50.000 volte. L’origine dell’infezione risalirebbe a novembre 2014, per cui ha avuto tutto il tempo di propagarsi indisturbata su vari dispositivi (fonte: ElevenPath Blog).

cajino, questo il nome del malware che contiene il tool RAT, è in grado di inviare informazioni riservate su un cloud storage di proprietà del malintenzionato (exfiltration), dati che poi vengono rimossi di nascosto dal dispositivo originario (è possibile che l’utente venga contattato in seguito, e gli venga richiesto un riscatto per riavere i suoi file). Non tutti gli antivirus sono in grado di rilevarlo, visto che la tecnica di exfiltration è praticamente nuova, mentre ESET e Avira – a quanto pare – è in grado di farlo nel suo più recente aggiornamento: massima attenzione, quindi, alle app che si installano sul proprio telefono o tablet Android.

Le notifiche di tipo push su Baidu Cloud – molto popolare in Cina, legittimamente usato da varie applicazioni Android e già sfruttato in passato per forzare la presenza di pubblicità sui dispositivi degli utenti – si affiancano alle tecniche più usate per la trasmissione di comandi remoti, tipo SMS, HTTP, jabber e GCM.

Ti piace questo articolo?

0 voti

Su Trovalost.it puntiamo sulla qualità dei contenuti da quando siamo nati: la tua sincera valutazione può aiutarci a migliorare ogni giorno.