Android sotto attacco: attenti a Sonvpay.C, HeroRat, e RAMpage

Nelle ultime settimane, non sono stati pochi gli attacchi condotti contro i terminali Android (ma non solo) da hacker in cerca di guadagni immediati, e di dati personali da poter usare nei modi più criminali possibili: ecco da cosa guardarsi.

Android sotto attacco: attenti a Sonvpay.C, HeroRat, e RAMpage

Sempre più molte delle operazioni che un tempo venivano fatte da PC, ora passano per il tramite mobile degli smartphone. Normale, quindi, che anche il trend delle infezioni informatiche stia facendo pendere la bilancia a favore del segmento mobile, con sempre più attacchi che vengono condotti ai danni dei nostri smartphone (e tablet) per lo più Androidiani: ecco, a conferma di tale assunto, le ultime 3 minacce emerse ai danni del robottino verde, e dei suoi fans. 

La prima minaccia, segnalata dalla security house McAfee, riguarda la scoperta, nel PlayStore Android, di ben 15 applicazioni affette dal virus Sonvpay.C (realizzato dall’hacking team AsiaHitGroup). Quest’ultimo, terza versione di un virus in circolazione sin dal 2016 (all’epoca colpì in Thailandia mentre, nel 2017, prese di mira la Russia), una volta attivato in locale da server remoto, iscrive le vittime a servizi in abbonamento premium (ecco perché chiede l’accesso agli SMS), scalandone il costo – secondo la tecnica del WAP Billing – dal credito residuo, ottenendo l’approvazione dagli utenti con una notifica che, in una grafica singolare, propone un aggiornamento per una delle app installate. McAfee, per fortuna, ha rivelato che, in seguito alla segnalazione, Google ha già rimosso le app dallo Store e che, in tema di aree geografiche colpite, tale infezione sarebbe circoscritta a Kazakistan e Malesia: ciò nonostante, il numero delle potenziali vittime – attestato un numero ampio di device coinvolti (tra 48.000 e 135.000) potrebbe essere tutt’altro che esiguo e, in ogni caso, la cifra incassata dagli hacker è già piuttosto sostanziosa (tra i 60 mila ed i 145 mila dollari).

Un’altra minaccia, segnalata invece dalla slovacca Eset (realizzatrice dell’ottimo antivirus Nod32), riguarda il malware HeroRat, il cui codice originale – scritto in C# tramite Xamarin – è risultato esser stato messo in vendita tramite un gruppo Telegram. Il virus in oggetto, non presente nel PlayStore, ma diffuso tramite repository di terze parti, spesso sotto le vesti di applicazioni contraffatte (es. per i Bitcoin o la connessione internet gratis, come accaduto in Iran), una volta finito sullo smartphone della vittima (opera su tutte le versioni di Android), si occultava dopo un finto messaggio d’errore che ne segnalava la successiva disinstallazione (invece, spariva solo l’icona dal drawler). I danni che HeroRat è risultato capace di attuare, gestito da un bot via Telegram, rientrano a pieno titolo tra quelli attuati dagli spyware: registrazioni audio, acquisizioni dei contatti, lettura degli SMS e dei file del device, individuazione della posizione GPS dell’utente, chiamate effettuate, lettura delle impostazioni del telefono, etc. 

Per fortuna, gli antivirus sono in grado di identificarlo (Eset lo rileva come Android/Spy.Agent.AMS e Android/Agent.AQO) e rimuoverlo, seppur la miglior cautela resti la prevenzione, esplicitata nel non rivolgersi a store alternativi a quello Android ufficiale. 

Infine, ma non per importanza (anzi!), vi è la recente minaccia scoperta da un team di 8 ricercatori, denominata RAMpage. Si tratta di un problema di sicurezza reso possibile da una vulnerabilità (Rowhammer) che riguarda tutti i chip di RAM (LPDDR2, LPDDR3 o LPDDR4) prodotti dal 2012 in poi e, quindi, suscettibile di colpire device Android (smartphone, tablet, smartwatch), computer, server e, forse, anche terminali iOS. Una volta che, tramite RAMpage si prende il controllo del device, essendo abbattute tutte le barriere tra OS ed app, non v ‘è dato che non possa essere alla mercé degli hacker (file, password, numeri delle carte di credito, etc). Per fortuna, il team di ricercatori ha predisposto un’app capace di rilevare se il proprio terminale sia vulnerabile a RAMpage, e predisposto un sistema di contromisure – GuardION – che, pur impattando sulle prestazioni delle app (a detta di Google), contribuirebbe a rendere i chip più resistenti a RAMpage (qualora venisse adottato, ed integrato).

Continua a leggere su Fidelity News