Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

RottenSys: scoperto malware preinstallato in 5 milioni di dispositivi Android

botnet  dispositivi mobili  RottenSys   venerdì, 16 marzo 2018

RottenSysI ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di malware per sistemi Android, battezzata RottenSys, che avrebbe già infettato circa 5 milioni di dispositivi mobili.

Il malware si nasconde in app all’apparenza legittime che si trovano preinstallate sui dispositivi al momento dell’acquisto. Uno degli esemplari analizzati da Check Point era nascosto in un’app che all’apparenza fornisce servizi di sistema relativi al Wi-Fi. Queste app sono in realtà progettate per mostrare all’utente annunci pubblicitari fraudolenti allo scopo di generare profitto per i cybercriminali responsabili di questa campagna di infezioni. Un elenco di queste app malevole è riportato in fondo all’articolo.

Per poter effettuare le loro attività malevole le app infette da RottenSys richiedono diverse autorizzazioni di sistema non connesse in alcun modo con le connessioni wireless o con altri servizi offerti. Tra queste, in particolare, quelle per i servizi di accessibilità, per l’accesso ai dati del calendario dell’utente (READ_CALENDAR) e per lo scaricamento nascosto di file (DOWNLOAD_WITHOUT_NOTIFICATION).

RottenSys utilizza due diverse tecniche di evasione per nascondere la propria natura malevola all’utente. La prima consiste nel ritardare di un tempo prestabilito l’avvio delle attività malevole dopo l’installazione o il primo avvio del dispositivo infetto. La seconda è insita nella natura stessa dell’app che, nella sua forma iniziale, contiene solo un componente con funzione di dropper, che non viene rilevato come malevolo. Una volta avviato, il dropper contatta un server C&C remoto da cui riceve un elenco di componenti aggiuntivi da scaricare ed installare sul dispositivo infetto. Questi componenti costituiscono il vero e proprio payload malevolo di RottenSys.

Dopo aver scaricato tutti i componenti necessari, RottenSys utilizza Small, un framework open source per la virtualizzazione delle applicazioni Android, per lanciare i vari componenti contemporaneamente, accedendo a diverse piattaforme di eMarketing mobile e visualizzando annunci pubblicitari in maniera aggressiva sulla schermata principale del dispositivo, come finestre popup o come annunci a schermo intero.

Per evitare che il proprio processo venga chiuso forzatamente dal sistema Android, RottenSys utilizza un secondo framework open source, chiamato MarsDaemon, che consente di mantenere i processi attivi. Questa tecnica incide sulle prestazioni del sistema e aumenta in maniera anomala il consumo della batteria.

Secondo quanto riportato da Check Point, RottenSys si presenta in numerose varianti, per quanto riguarda sia l’app dropper, sia i componenti aggiuntivi. Questi risultano adattati a diverse campagne e si differenziano per le tipologie di dispositivi attaccati, le piattaforme di advertising sfruttate (principalmente Guang Dian Tong di Tencent e Baidu) e i canali di diffusione.

Riguardo questi ultimi, gli esperti ritengono che il malware possa essersi infiltrato nella catena di distribuzione dei dispositivi attraverso falle nei sistemi di società cinesi che offrono servizi di personalizzazione pre-vendita, vendita all’ingrosso e servizio clienti a livello regionale per conto di grandi produttori di apparati mobili tra i quali Samsung, HTC, Apple, Xiaomi, ZTE, Coolpad, Lenovo e Huawei. Le vittime di questo malware si ritroverebbero quindi con i dispositivi infetti già al momento dell’acquisto.

Stando ai dati raccolti da Check Point, RottenSys avrebbe iniziato a propagarsi a partire da settembre del 2016, raggiungendo a marzo di quest’anno la quota di circa 5 milioni di dispositivi infetti. I marchi più colpiti risulterebbero Honor, Huawei e Xiaomi. La campagna di infezioni osservata finora avrebbe fruttato ai cybercriminali circa 150.000$ solo negli ultimi 10 giorni.

Sempre secondo gli esperti di CheckPoint, gli autori di RottenSys starebbero sperimentando una botnet basata su questo malware allo scopo di espandere le proprie attività fraudolente.

Nel caso in cui il proprio dispositivo Android presenti comportamenti anomali riconducibili alla presenza del malware RottenSys, si suggerisce di verificare mediante il gestore delle app nelle impostazioni di sistema la presenza di uno o più dei processi elencati nella tabella seguente e di rimuovere immediatamente dal sistema le applicazioni corrispondenti.

Elenco delle app infette da RottenSys (fonte: Check Point)
Nome app Nome pacchetto
每日黄历 (Calendario giornaliero) com.android.yellowcalendarz
畅米桌面 (Changmi Desktop launcher) com.changmi.launcher
系统WIFI服务 (Servizio Wi-Fi di sistema) com.android.services.securewifi
N/D com.system.service.zdsgt

Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

App Android per il risparmio batteria nasconde adware e sottrae informazioni

22 giugno 2018

I ricercatori di RiskIQ hanno scoperto un'app malevola sullo store ufficiale di Google che nasconde un adware in uno strumento per il risparmio energetico.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto