Threat Check Point ha recentemente rilevato una grave infezione in 36 dispositivi Android, appartenente ad una grande società di telecomunicazioni e una società di tecnologia multinazionale.

Secondo i risultati, il malware erano già presenti sui dispositivi prima ancora che gli utenti li hanno ricevuti. Le applicazioni dannose non facevano parte della ROM ufficiale fornita dal produttore, e sono state aggiunte da qualche parte lungo la catena di approvvigionamento. Sei dei casi di malware sono stati aggiunti da un attore dannoso alla ROM del dispositivo utilizzando privilegi di sistema, nel senso che non possono essere rimossi con l’utente e il dispositivo doveva essere ri-lampo.

Qui di seguito sono due esempi di installazione del malware. Il team di ricerca è stato in grado di determinare quando il costruttore finito di installare le applicazioni di sistema sul dispositivo, quando è stato installato il malware, e quando l’utente prima ha ricevuto il dispositivo.

Un Adnet dannoso trovato in 6 dispositivi mobili, APK com.google.googlesearch:

Loki di malware, APK com.androidhelper.sdk:

La maggior parte del malware rilevato essere pre-installato sui dispositivi erano info-ladri e reti pubblicitarie grezzi, e uno di loro era Slocker, un ransomware mobile. Slocker utilizza l’algoritmo di crittografia AES per crittografare tutti i file sul dispositivo e richiesta di riscatto in cambio del loro chiave di decrittazione. Slocker usa Tor per le sue comunicazioni C & C.

Il Adnet ruvida più notevole che mira i dispositivi è il Loki Malware. Questo complesso di malware funziona utilizzando vari componenti; ognuno ha la sua funzionalità e ruolo nel raggiungimento dell’obiettivo dannoso del malware. Il malware visualizza pubblicità illegittimi per generare entrate. Come parte del suo funzionamento, il malware ruba i dati sul dispositivo e si installa nel sistema, permettendogli di prendere il pieno controllo del dispositivo e di raggiungere persistenza.

 

Il rischio di pre-installato il malware

Come regola generale, gli utenti dovrebbero evitare di siti web e scaricare applicazioni rischioso solo da negozi ufficiali e di fiducia app. Tuttavia, a seguito di queste linee guida non è sufficiente a garantire la loro sicurezza. Pre-installato del malware compromettere la sicurezza anche dei più attenti utenti. Inoltre, un utente che riceve un dispositivo già contenente il malware non sarà in grado di notare alcun cambiamento nell’attività del dispositivo, che spesso si verificano una volta che è installato un malware.

La scoperta del malware preinstallato solleva alcune questioni allarmanti per quanto riguarda la sicurezza mobile. Gli utenti potrebbero ricevere i dispositivi che contengono backdoor o sono radicati a loro insaputa. Per proteggersi da regolare e pre-installato del malware, gli utenti dovrebbero attuare misure di sicurezza avanzate in grado di identificare e bloccare qualsiasi anomalia nel comportamento del dispositivo.

 

Appendice 1 – Elenco delle APK malware, Shas, e interessati dispositivi

com.fone.player1 Galaxy Note 2
LG G4
d99f490802f767201e8d507def4360319ce12ddf46765ca1b1168d64041f20f
com.lu.compass Galaxy S7
Galaxy S4
f901fd1fc2ce079a18c619e1192b14dcc164c97da3286031ee542dabe0b4cd8c
com.kandian.hdtogoapp Galaxy Note 4
Galaxy Note 8.0
b4e70118905659cd9b2c948ce59eba2c4431149d8eb8f043796806262d9a625b
com.sds.android.ttpod Galaxy Note 2
Xiaomi Mi 4i
936e7af60845c4a90b8ce033734da67d080b4f4f0ca9c319755c4a179d54bf1b
com.baycode.mop Galaxy A5 39c6bab80cc157bfe540bdee9ce2440b3b363e830bc7adaab9fc37075fb26fb1
com.kandian.hdtogoapp Galaxy S4 998ab3d91cbc4f1b02ea6095f833bfed9d4f610eea83c51c56ce9979a2469aea
com.iflytek.ringdiyclient ZTE X500 e9a30767e69dccb1b980eae42601dff857a394c7abdfe93a18e8739fa218d14b
com.android.deketv Galaxy A5 01b8cb51464b07775ff5f45207d26d8d9f4a3b6863c110b56076b446bda03a8a
com.changba Galaxy S4
Galaxy Note 3
Galaxy S4
Galaxy Note bordo
Galaxy Note 4
a07745f05913e122ec19eba9848af6dfda88533d67b7ec17d11c1562245cbed1
com.example.loader Galaxy Tab S2 e4e97090e9fd6cc3d321cee5799efd1806b5d8a9dea7c4872044057eb1c486ff
com.armorforandroid.security Galaxy Tab 2 947574e790b1370e2a6b5f4738c8411c63bdca09a7455dd9297215bd161cd591
com.android.ys.services Oppo N3
vivo X6 più
0d8bf3cf5b58d9ba280f093430259538b6340b24e805058f3d85381d215ca778
com.mobogenie.daemon Galaxy S4 0038f450d7f1df75bf5890cf22299b0c99cc0bea8d66e6d25528cb01992a436b
com.google.googlesearch 5 Asus Zenfone 2
LenovoS90
217eee3a83f33b658fb03fddfadd0e2eb34781d5dd243203da21f6cb335ef1b4
com.skymobi.mopoplay.appstore LenovoS90 3032bb3d90eea6de2ba58ac7ceddead702cc3aeca7792b27508e540f0d1a60be
com.example.loader OppoR7 più 1cb5a37bd866e92b993ecbbcc4a2478c717eeb93839049ef0953b0c6ba89434e
com.yongfu.wenjianjiaguanli Xiaomi redmi e5656c1d96158ee7e1a94f08bca1213686a05266e37fb2efb5443b84250ea29d
air.fyzb3 Galaxy Note 4 c4eac5d13e58fb7d32a123105683a293f70456ffe43bb640a50fde22fe1334a2
com.ddev.downloader.v2 Galaxy Note 5 92ae2083a8495cc5b0a0a82f0bdeb53877170d2615ce93bd8081172af9e60f8f
com.mojang.minecraftpe Galaxy Note bordo fbe9c495f86a291a0abe67ad36712475ff0674d319334dbd7a2c3aa10ff0f429
com.androidhelper.sdk Lenovo A850 b0f6d2fc8176356124e502426d7aa7448490556ef68a2f31a78f4dd8af9d1750

 

 NOTA: AGGIORNAMENTO 13 MARZO 2017- Qualche precisazione è stata fatta. Numero di dispositivi da 38 a 36. macchine Nexus sono stati rimossi.