{"id":45595,"date":"2016-01-29T16:12:35","date_gmt":"2016-01-29T15:12:35","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=45595"},"modified":"2023-01-09T11:36:50","modified_gmt":"2023-01-09T10:36:50","slug":"android-variante-ransomware-utilizza-clickjacking-per-diventare-amministratore-del-dispositivo","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/android-variante-ransomware-utilizza-clickjacking-per-diventare-amministratore-del-dispositivo\/45595\/","title":{"rendered":"Android. Variante ransomware utilizza clickjacking per diventare amministratore del dispositivo"},"content":{"rendered":"

Symantec<\/a> ha scoperto\u00a0una variante ransomware per Android derivata da\u00a0Android.Lockdroid.E<\/a> che utilizza nuove tattiche. Gli utenti vengono ingannati da una falsa App e concedono\u00a0diritti di amministratore del dispositivo al\u00a0malware. Cos\u00ec tutti i file del dispositivo vengono crittografati, se ottiene i diritti di amministratore, il malware pu\u00f2 cos\u00ec bloccare il dispositivo, modificare il PIN del dispositivo, e cancellare tutti i dati dell’utente attraverso un reset di fabbrica.<\/p>\n

Ransomware e metodi di estorsione<\/strong><\/p>\n

\"Allerta
Figura 1 – Schermata di attivazione<\/figcaption><\/figure>\n

Il ransomware per Android ha un certo numero di armi per estorcere denaro alle vittime. Nel caso pi\u00f9 comune, una volta che la vittima ha scaricato e installato\u00a0un’applicazione modificata, il malware blocca lo schermo e visualizza un avviso sostenendo che l’utente ha avuto\u00a0accesso a materiali proibiti. Nel frattempo, il malware raccoglie la lista dei contatti della vittima e crittografa i dati in background. Gli utenti poi vedranno\u00a0quindi comparire la richiesta\u00a0di pagare un riscatto, dietro la minaccia\u00a0dalla perdita dei dati crittografati e la presentazione della cronologia di navigazione a tutti i loro contatti.<\/p>\n

Tecniche pi\u00f9 aggressive dipendono anche dalla\u00a0ingegneria sociale per convincere l’utente ad attivare l’applicazione e diventare cos\u00ec un\u00a0amministratore del dispositivo. L’app chiede all’utente di concedere i permessi di amministrazione per dare nuove funzionalit\u00e0 gratuitamente, questo ovviamente non \u00e8 vero\u00a0(Figura 1). Questa escalation di privilegi consente all’applicazione di\u00a0bloccare lo schermo del dispositivo, reimpostare il PIN, ed\u00a0eseguire un reset di fabbrica. Inoltre, impedisce all’utente di disinstallare il malware, sia attraverso l’interfaccia utente (UI) sia\u00a0tramite un’interfaccia a riga di comando. Queste tecniche pi\u00f9 aggressive, aggiunte alla capacit\u00e0 di crittografare i file, possono fare la differenza quando si tratta di estorcere pagamenti da parte delle vittime.<\/p>\n

Clickjacking passo dopo passo<\/strong>
\nQuesta nuova variante di ransomware ha\u00a0superato ampiamente un livello superiore rispetto alle\u00a0versioni precedenti, adottando una pi\u00f9 sofisticata ingegneria sociale per ottenere i diritti di amministratore. Una volta che l’applicazione \u00e8\u00a0installata e gestita\u00a0da parte dell’utente, la finestra di attivazione del sistema viene richiamata e coperta da una falsa finestra “Pacchetto di installazione” (Figura 2).<\/p>\n

\"Seconda
Figura 2<\/figcaption><\/figure>\n

L’utente crede che facendo\u00a0clic su”Continua” va ad installare\u00a0un necessario pacchetto di Google ma, in realt\u00e0, ha\u00a0fatto il primo passo per attivare l’applicazione dannosa come amministratore del dispositivo, questo\u00a0garantisce tutte le capacit\u00e0 richieste al\u00a0malware per mettere in atto l’estorsione.<\/p>\n

Fase 1<\/strong>
\nIl primo passo \u00e8 la finestra di installazione illustrata nella figura 2. Mentre \u00e8 visualizzato questo messaggio, in background l’applicazione sta gi\u00e0 crittografando tutti i file che si trovano sulla scheda di archiviazione esterna e\u00a0raccoglie\u00a0informazioni sensibili dell’utente. Una volta che viene cliccato su “Continua” l’applicazione richiama l’amministrazione del dispositivo tramite\u00a0API. Normalmente, la finestra di attivazione del sistema dovrebbe essere sul\u00a0livello\u00a0UI superiore.<\/p>\n

Tuttavia, questa variante di malware utilizza una finestra TYPE_SYSTEM_ERROR (figura 3), che viene visualizzata \u00e8\u00a0progettata per apparire come se fosse una normale finestra di\u00a0dialogo che ha a che fare con la decompressione di componenti per l’installazione del pacchetto. Tuttavia, questo non \u00e8 ci\u00f2 che sta accadendo il malware \u00e8 solo in attesa per un breve periodo di tempo senza fare nulla.
\nPasso 2<\/strong>
\nDopo il falso ritardo, arriva un nuovo messaggio di\u00a0“installazione \u00e8 terminata”. E’ questo il passaggio che inganna l’utente e lo convince a dare i privilegi elevati al malware. L'”installazione \u00e8 terminata” \u00e8 in realt\u00e0 una finestra TYPE_SYSTEM_OVERLAY. La caratteristica fondamentale di questo tipo di finestra \u00e8 che non pu\u00f2 ricevere nessun comando. Ci\u00f2 significa che la finestra non pu\u00f2 rispondere a operazioni dell’interfaccia utente, quali i clic sui pulsanti.<\/p>\n

\"Figura
Figura 3<\/figcaption><\/figure>\n

Come si pu\u00f2 vedere nella figura 4, confrontando il layout ingannevole “installazione \u00e8 completa” con la finestra di attivazione da amministratore del dispositivo, possiamo vedere che il pulsante “Continua” \u00e8 perfettamente posizionato sopra il pulsante “Attiva”. In effetti, questo significa che una volta che l’utente preme il pulsante “Continua” preme in realt\u00e0 il\u00a0pulsante “Attiva”.<\/p>\n

Altri usi malevoli<\/strong>
\nQuesta tecnica di clickjacking pu\u00f2\u00a0essere utilizzato anche per eseguire altre attivit\u00e0 dannose. Un esempio \u00e8 la gestione dei permessi di root, uno strumento che \u00e8 onnipresente tra le varie app e spesso concesso senza pensieri dall’utente di base. Questo strumento sul sistema permette di elevare\u00a0i privilegi a root e presenta una finestra di dialogo per l’autorizzazione \u00a0a nome della app. Utilizzando questa\u00a0finestra \u00a0il malware potrebbe aggirare questa caratteristica di sicurezza e operare liberamente.<\/p>\n

Mitigazione dei pericoli<\/strong>
\nA partire da Android 5.0 (Lollipop), la piattaforma impedisce alle finestre di\u00a0dialogo precedentemente menzionate di visualizzare il messaggio per avere un’autorizzazione di sistema. Come risultato, questa tecnica di clickjacking riguarda solo i dispositivi con versioni di Android pi\u00f9 vecchi di Android 5.0 in esecuzione; tuttavia, ci\u00f2 equivale a quasi il 67 per cento<\/a> dei dispositivi Android.
\nIl malware appare come un’app pornografica chiamata porno Mania ‘O’. L’applicazione dannosa non si trova su Google Play e pu\u00f2 essere scaricata da negozi di terze parti, forum o siti torrent. Gli utenti che hanno installato Google Play sono protetti da questa applicazione in quanto avviene una automatica scansione\u00a0anche durante il download al di fuori di Google Play.<\/em> Symantec consiglia agli utenti di scaricare applicazioni solo da app store di fiducia.<\/p>\n

\"Figura
Figura 4<\/figcaption><\/figure>\n

Le seguenti misure sono consigliate anche per aiutare gli utenti a proteggere i loro dispositivi contro i malware:<\/p>\n

    \n
  • Utilizzare una soluzione di sicurezza completa\u00a0per la protezione contro i virus per device mobili<\/li>\n
  • Mantenere il software aggiornato<\/li>\n
  • Installare solo applicazioni da fonti attendibili<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    Symantec ha scoperto\u00a0una variante ransomware per Android derivata da\u00a0Android.Lockdroid.E che utilizza nuove tattiche. Gli utenti vengono ingannati da una falsa App e concedono\u00a0diritti di amministratore del dispositivo al\u00a0malware. Cos\u00ec tutti i file del dispositivo vengono crittografati, se ottiene i diritti di amministratore, il malware pu\u00f2 cos\u00ec bloccare il dispositivo, modificare il PIN del dispositivo, e […]<\/p>\n","protected":false},"author":3,"featured_media":45598,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[376],"tags":[],"class_list":{"0":"post-45595","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-approfondimenti-mobile","8":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/01\/ransomwareandroid.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45595","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=45595"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45595\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/45598"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=45595"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=45595"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=45595"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}