• Stampa pagina
  • Area riservata
  • Versione alto contrasto
  • Versione standard

Il trojan Godless effettua il rooting dei dispositivi Android sfruttando diversi exploit

  pubblicata il 23/06/2016

Categorie: Sicurezza Informatica

I ricercatori di sicurezza di Trend Micro hanno individuato una nuova famiglia di malware per dispositivi mobili Android, battezzata Godless, che sfrutta diversi exploit per ottenere i privilegi di root sul dispositivo.

Avendo a disposizione più exploit, Godless è in grado di infettare qualsiasi dispositivo su cui è installata una versione di Android uguale o precedente alla 5.1 (Lollipop), il che si traduce in pratica nel 90% dei dispositivi Android attualmente in circolazione.

Godless è progettato in maniera similare ad un exploit kit, in quanto utilizza un framework open source, chiamato android-rooting-tools, disponibile liberamente in rete. Le due vulnerabilità principali sfruttate da questo kit sono CVE-2015-3636 (utilizzata dall’exploit PingPongRoot) e CVE-2014-3153 (utilizzata dall’exploit Towelroot). Gli altri exploit risultano deprecati e relativamente sconosciuti anche all’interno della comunità dei ricercatori di sicurezza.

Le varianti meno recenti di Godless installano un’applicazione di sistema che implementa un client standalonedi Google Play. Questo client viene utilizzato per rubare le credenziali di Google e scaricare e installare dal Play Store app potenzialmente dannose, categorizzabili come PUA (Potentially Unwanted Application), senza il consenso dell’utente. Lo scopo del malware è quello di promuovere specifiche app e migliorarne la classifica nello store in maniera fraudolenta.

La variante più recente scoperta da Trend Micro, che scarica da un server C&C remoto sia l’exploit, sia ilpayload, implementa una backdoor con accesso di root che consente agli attaccanti di installare applicazioni sui dispositivi infetti di nascosto all’utente.

Stando a quanto riportato da Trend Micro, applicazioni dannose contenenti questo trojan si trovano nei principali repository di app, tra cui Google Play, e hanno colpito più di 850.000 dispositivi in tutto il mondo. Gli esperti hanno anche osservato diverse applicazioni legittime su Google Play che hanno corrispondenti versioni malevoli in-the-wild che condividono lo stesso certificato di sviluppatore. Al momento Godless è diffuso prevalentemente in Paesi asiatici come India (46,19%), Indonesia (10,27%), Tailandia (9,47%), Filippine (6,31%) e Malesia (5,01%).

Trend Micro ha anche pubblicato un documento in formato PDF contenente diversi indicatori di compromissione (IoC) relativi a questa minaccia.

Google è già stata informata della presenza di questo trojan e ha già iniziato a rimuovere le app infette dal Play Store. Ad ogni modo, per evitare di cadere vittime di questo tipo di malware, si suggerisce agli utenti di verificare attentamente la reputazione di un’app di dubbia origine prima di scaricarla sul proprio dispositivo, anche se presente sullo store di Google, e di installare e mantenere aggiornata una soluzione antivirus.

(fonte: http://www.certnazionale.it )

Contenuti Categorizzati




Cloud Wifi

 


Multifunzioni