Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

RottenSys: scoperto malware preinstallato in 5 milioni di dispositivi Android

botnet  dispositivi mobili  RottenSys   venerdì, 16 marzo 2018

RottenSysI ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di malware per sistemi Android, battezzata RottenSys, che avrebbe già infettato circa 5 milioni di dispositivi mobili.

Il malware si nasconde in app all’apparenza legittime che si trovano preinstallate sui dispositivi al momento dell’acquisto. Uno degli esemplari analizzati da Check Point era nascosto in un’app che all’apparenza fornisce servizi di sistema relativi al Wi-Fi. Queste app sono in realtà progettate per mostrare all’utente annunci pubblicitari fraudolenti allo scopo di generare profitto per i cybercriminali responsabili di questa campagna di infezioni. Un elenco di queste app malevole è riportato in fondo all’articolo.

Per poter effettuare le loro attività malevole le app infette da RottenSys richiedono diverse autorizzazioni di sistema non connesse in alcun modo con le connessioni wireless o con altri servizi offerti. Tra queste, in particolare, quelle per i servizi di accessibilità, per l’accesso ai dati del calendario dell’utente (READ_CALENDAR) e per lo scaricamento nascosto di file (DOWNLOAD_WITHOUT_NOTIFICATION).

RottenSys utilizza due diverse tecniche di evasione per nascondere la propria natura malevola all’utente. La prima consiste nel ritardare di un tempo prestabilito l’avvio delle attività malevole dopo l’installazione o il primo avvio del dispositivo infetto. La seconda è insita nella natura stessa dell’app che, nella sua forma iniziale, contiene solo un componente con funzione di dropper, che non viene rilevato come malevolo. Una volta avviato, il dropper contatta un server C&C remoto da cui riceve un elenco di componenti aggiuntivi da scaricare ed installare sul dispositivo infetto. Questi componenti costituiscono il vero e proprio payload malevolo di RottenSys.

Dopo aver scaricato tutti i componenti necessari, RottenSys utilizza Small, un framework open source per la virtualizzazione delle applicazioni Android, per lanciare i vari componenti contemporaneamente, accedendo a diverse piattaforme di eMarketing mobile e visualizzando annunci pubblicitari in maniera aggressiva sulla schermata principale del dispositivo, come finestre popup o come annunci a schermo intero.

Per evitare che il proprio processo venga chiuso forzatamente dal sistema Android, RottenSys utilizza un secondo framework open source, chiamato MarsDaemon, che consente di mantenere i processi attivi. Questa tecnica incide sulle prestazioni del sistema e aumenta in maniera anomala il consumo della batteria.

Secondo quanto riportato da Check Point, RottenSys si presenta in numerose varianti, per quanto riguarda sia l’app dropper, sia i componenti aggiuntivi. Questi risultano adattati a diverse campagne e si differenziano per le tipologie di dispositivi attaccati, le piattaforme di advertising sfruttate (principalmente Guang Dian Tong di Tencent e Baidu) e i canali di diffusione.

Riguardo questi ultimi, gli esperti ritengono che il malware possa essersi infiltrato nella catena di distribuzione dei dispositivi attraverso falle nei sistemi di società cinesi che offrono servizi di personalizzazione pre-vendita, vendita all’ingrosso e servizio clienti a livello regionale per conto di grandi produttori di apparati mobili tra i quali Samsung, HTC, Apple, Xiaomi, ZTE, Coolpad, Lenovo e Huawei. Le vittime di questo malware si ritroverebbero quindi con i dispositivi infetti già al momento dell’acquisto.

Stando ai dati raccolti da Check Point, RottenSys avrebbe iniziato a propagarsi a partire da settembre del 2016, raggiungendo a marzo di quest’anno la quota di circa 5 milioni di dispositivi infetti. I marchi più colpiti risulterebbero Honor, Huawei e Xiaomi. La campagna di infezioni osservata finora avrebbe fruttato ai cybercriminali circa 150.000$ solo negli ultimi 10 giorni.

Sempre secondo gli esperti di CheckPoint, gli autori di RottenSys starebbero sperimentando una botnet basata su questo malware allo scopo di espandere le proprie attività fraudolente.

Nel caso in cui il proprio dispositivo Android presenti comportamenti anomali riconducibili alla presenza del malware RottenSys, si suggerisce di verificare mediante il gestore delle app nelle impostazioni di sistema la presenza di uno o più dei processi elencati nella tabella seguente e di rimuovere immediatamente dal sistema le applicazioni corrispondenti.

Elenco delle app infette da RottenSys (fonte: Check Point)
Nome app Nome pacchetto
每日黄历 (Calendario giornaliero) com.android.yellowcalendarz
畅米桌面 (Changmi Desktop launcher) com.changmi.launcher
系统WIFI服务 (Servizio Wi-Fi di sistema) com.android.services.securewifi
N/D com.system.service.zdsgt

Android è un marchio di Google Inc. Il robot Android è riprodotto o modificato dal lavoro creato e condiviso da Google e utilizzato nel rispetto dei termini descritti nella licenza Creative Commons Attribuzione 3.0.

Notizie correlate

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Scoperte numerose app su Google Play infette da malware per Windows

1 agosto 2018

I ricercatori di sicurezza del team Unit 42 di Palo Alto Networks hanno scoperto su Google Play 145 app contenenti codice malevolo per Windows.Leggi tutto

Incremento degli attacchi verso sistemi ERP

27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning).Leggi tutto