Il malware di Hacking Team su Android

Trend Micro scova tra i 400GB sottratti all'azienda italiana le specifiche di un app-trojan veicolata tramite Google Play.

BeNews era il cavallo di Troia di Hacking Team e dei suoi clienti per iniettare malware a bordo degli smartphone Android: ne è convinta Trend Micro, che ha pubblicato un post sul proprio blog ufficiale in cui illustra le sue scoperte in merito. L’azienda italiana, al centro delle polemiche in questi giorni dopo la fuga di dati che ha svelato le sue tecnologie e i suoi clienti, aveva trovato il modo di aggirare i controlli del marketplace Play di Google, distribuendo quello che a tutti gli effetti diveniva poi uno strumento di controllo remoto del terminale.

L'app-trojan di Hacking Team scovata da Trend Micro
L'app-trojan di Hacking Team scovata da Trend Micro

L'app in questione, BeNews, aveva un nome che richiamava quello di un sito ormai defunto da tempo: sotto le mentite spoglie di un app destinata alla lettura delle notizie si nascondeva però un meccanismo in grado di scaricare sul terminale bersaglio il codice necessario a violarne il contenuto. Di fatto il pacchetto scaricato da Play Store era sano, ma conteneva al suo interno un sistema di download silente: le autorizzazioni richieste al momento dell'installazione erano minime, ma i byte scaricati di soppiatto servivano a mettere in pratica una abile manovra di aggiramento tramite una vulnerabilità del sistema operativo.

Approfittando di un bug noto di Android, di cui sono affette le versioni dalla 2.2 alla 4.4.4, l'app riusciva a scalare la propria classe di privilegi e prendere il controllo del terminale: di fatto Hacking Team forniva ai suoi clienti tutte le istruzioni per servirsi al meglio dell'app, comprese le credenziali necessarie ad accedere ad un account sviluppatore su Google Play.

L'app-trojan di Hacking Team scovata da Trend Micro
L'app-trojan di Hacking Team scovata da Trend Micro

L'app identificata da Trend Micro ora non è più disponibile sul marketplace Android: ciò nonostante la stessa tecnica potrebbe essere impiegata, o lo è già, in altre app apparentemente innocue distribuite tramite Google Play o, più probabilmente, attraverso altri repository non ufficiali di software. Pertanto i responsabili dell'azienda di sicurezza invitano tutti a prestare la massima attenzione al tipo di permessi richiesti dalle app che si installano sul proprio smartphone, alla provenienza delle stesse e infine valutare eventuali comportamenti insoliti di quelle già installate.

Ti consigliamo anche

Link copiato negli appunti