Video: Самый опасный компьютерный вирус ! ( Trojan Inc. ) (Novembre 2024)
Due ricercatori distribuiti nei mercati cinesi stanno sfruttando la vulnerabilità della "chiave principale" di Android, hanno scoperto i ricercatori Symantec.
La vulnerabilità "chiave principale", resa pubblica all'inizio di questo mese, consente agli aggressori di modificare le app esistenti inserendo un file dannoso con lo stesso nome di quello esistente nel pacchetto dell'applicazione. Quando Android apre il file del pacchetto, convalida la firma digitale del primo file e non convalida il secondo perché pensa di aver già convalidato quel file. La preoccupazione maggiore era che gli aggressori possono sfruttare il difetto per creare app dannose che possono mascherarsi come app legittime e assumere il controllo remoto dei dispositivi degli utenti.
Symantec ha trovato due app distribuite in un marketplace di app in Cina che utilizzavano l'exploit. Le app vengono utilizzate per trovare e fissare appuntamenti con un medico, secondo un post di mercoledì sul blog di Symantec Security Response.
"Prevediamo che gli aggressori continuino a sfruttare questa vulnerabilità per infettare i dispositivi ignari degli utenti", afferma il post sul blog.
Lo sviluppatore dell'app ha sfruttato la vulnerabilità per aggiungere malware chiamato Android.Skullkey. Questo Trojan ruba i dati dai telefoni compromessi, monitora i messaggi ricevuti e scritti sul portatile e invia anche messaggi SMS a numeri premium. Il Trojan può anche disabilitare le applicazioni software di sicurezza mobile installate su questi dispositivi.
Google sta effettuando la scansione per queste app?
Il rapporto di Symantec arriva pochi giorni dopo che BitDefender ha trovato due app su Google Play che utilizzavano anche nomi di file duplicati, ma non in modo dannoso. Rose Wedding Cake Game e Pirates Island Mahjong contengono due file immagine duplicati (PNG) che fanno parte dell'interfaccia del gioco.
"Le applicazioni non eseguono codice dannoso: stanno semplicemente esponendo il bug Android per sovrascrivere un file di immagine nel pacchetto, molto probabilmente per errore", ha scritto Bogdan Botezatu, analista senior di e-threat di Bitdefender, sul blog di Hot for Security lo scorso settimana.
"Non c'è motivo per un APK di avere due file con nomi identici nello stesso percorso", ha detto Botezatu a SecurityWatch .
Entrambe le app sono state aggiornate di recente ed è "particolarmente interessante" che le app non abbiano sollevato bandiere rosse quando sono state scansionate da Google Play, ha detto Botezatu. Ricorda, Google ha affermato di aver apportato modifiche a Google Play per bloccare le app che sfruttano questa vulnerabilità. Ora la domanda sembra essere proprio quando Google ha aggiornato lo scanner del suo marketplace, dall'ultimo aggiornamento del gioco della torta nuziale a giugno. Oppure potrebbe essere che Google abbia riconosciuto che i nomi dei file di immagine duplicati non sono dannosi in quanto non esiste un codice eseguibile e lascia passare le app.
Stai lontano dai mercati non ufficiali
Come abbiamo consigliato in passato, segui Google Play e non scaricare app da fonti di terze parti come mercati, forum e siti Web non ufficiali. Attenersi ai "marketplace di applicazioni Android affidabili" in cui le app vengono verificate e scansionate prima di essere elencate.
Google ha già rilasciato una patch per i produttori, ma spetta ai fornitori e ai corrieri sapere quando l'aggiornamento verrà inviato a tutti i proprietari dei portatili.
Se usi CyanogenMod o altre distribuzioni Android che hanno già corretto il bug, sei protetto da questo tipo di app. Se si tenta di installare app modificate in questo modo, verrà visualizzato il messaggio "Il file del pacchetto non è stato firmato correttamente".