Discussione Malware Malware sul mio telefono Android!

Ordina per data Ordina commenti per reazioni
0

0xbro

Super Moderatore
24 Febbraio 2017
4,465
179
3,764
1,825

Malware sul mio telefono Android!​

Tempo di lettura stimato: 5 min
Tratto da una storia vera, articolo originale qui
malware-smartphone-android.jpg

Ho una confessione da fare di cui non sono molto orgoglioso: di recente, ho involontariamente installato un malware sul mio telefono Android. Essendo uno dei primi membri del team Android e uno che usa Android da circa tredici anni, è stato un evento piuttosto umiliante e irritante.
Mi ricordo bene com'è iniziato tutto: ho sbloccato il mio telefono, ero sovrappensiero. Due rapidi e accidentali click sullo schermo e ho così acconsentito un messaggio che il mio cervello ha registrato immediatamente come sospettoso.

Subito non ho notato nulla di strano, il giorno dopo, però, la sorpresa. Ho acceso il telefono, ho aperto Chrome e ho subito notato che all'interno dell'app erano state aperte decine di pagine con URLs chiaramente spam, che ovviamente non avevo aperto io. E' stato in quel momento che ho realizzato cosa fosse realmente successo.

DefCon 5​

Non avendo molto tempo la mattina della scoperta, ho optato per una soluzione semplice e temporanea: ho cambiato il browser predefinito, passando da Chrome a un altro browser. Poche ore dopo, però, l'evento. Come successo la mattina, anche sul nuovo browser ho trovato aperte molte altre pagine spam.
I sospetti si fanno sempre più fitti.

DefCon 4​

Ho controllato tutte le app e ne ho disabilitate e cancellate parecchie. Ho anche scaricato MalwareBytes e gli ho fatto fare una passata, ma nessun risultato. Stessa cosa Google Play Protect, nessun esito. Devo essermi perso l'app malevola. Intano gli URL continuano ad aumentare.

DefCon 3​

E' ora di passare alle maniere forti. Collego il mio telefono al pc e lancio adb. Inizio controllando l'elenco delle ultime attività... cattiva idea, l'output è così voluminoso che trovare qualcosa di utile è come cercare un ago nel pagliaio. Ispeziono anche tutti i servizi e le loro applicazioni associate, ma di nuovo, è impossibile trovare qualcosa di sospetto, ci sono troppe informazioni. Anche i `greps' ben mirati non hanno effetto.
Devo escogitarmi qualcos'altro di più efficace.

DefCon 2​

Lasciamo perdere la caccia al tesoro con adb. E' ora di lanciare Andoird Studio. Filtro l'output di logcat su http?://, sposto la finestra a lato e riprendo la mia normale attività, con un occhio sempre vigile alle finestre del mio cellulare, sugli URL visitati e sui log del sistema operativo.
maxresdefault.jpg

Ecco che, puntuali come un orologio svizzero, gli url si ripresentano. Questa volta però sono pronto!
Bash: 
2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237
Ah ha! Preso! Finalmente ho un uid che sono riuscito a estrapolare tramite grep dall'output di logcat.
Bash: 
2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))
Il nome del package risulta essere "com.qrcodescanner.barcodescanner". Sembra che l'app malevola si mascheri in verità da scanner di codici QR dunque. Dando ora un'altra occhiata all'elenco delle app, individuarla risulta adesso molto più semplice :myeah:

L'ho disinstallata. E' passata qualche ora. Sono felice di constatare che gli URLs spam non compaiono più.

Tornando al DefCon 5​

Sono tornato sul Play Store e ho cercato di trovare l'applicazione che ho appena disinstallato, ma non sono riuscito a trovarla. Probabilmente Google l'ha rimossa dallo store qualche tempo fa. Il malware che ho attivato probabilmente ha fatto il side-load dopo che ne ho inavvertitamente approvato l'installazione.
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.

Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?

Conclusioni e suggerimenti​

  • Quando si elencano le app installate sul telefono, si dovrebbe avere anche la possibilità di ordinarle per "Ultima installazione". Sono abbastanza sicuro che se avessi avuto questa opzione e avessi visto installato un QR Code Scanner da pochi giorni, la cosa avrebbe immediatamente attirato la mia attenzione. Così com'è ora, il modo in cui Android elenca le applicazioni installate è piuttosto inutile a tal riguardo.​
  • MalwareBytes è stato completamente inutile e l'ho immediatamente disinstallato dopo essermene reso conto. Il problema è che probabilmente cerca solo le firme dei malware all'interno dei packages invece di limitarsi a guardare quali app siano installate e da dove provengano.​
  • Anche Google Play Protect è stato completamente inutile, il che è stata una grande delusione. Primo, perché Google sa certamente quali applicazioni sono state rimosse dallo store a causa di malware. In secondo luogo, mi aspetterei che Google Play Protect indicasse almeno quali sono le applicazione sul mio telefono che non sono all'interno dello store. Un' app del genere non è necessariamente un malware, però dovrebbe essere comunque segnalata.​
  • Google Play Protect potrebbe anche fare un po' di monitoraggio del comportamento delle app in background per analizzare e capire che cosa facciano. Un servizio che lancia in maniera ricorrente dei 'VIEW intents' verso diveri siti, rimanendo sempre in background, dovrebbe (almeno) attirare l'attenzione del sistema.​

Morale della storia:​

Da questa breve e avventurosa storia possiamo imparare diverse cose:
Per vedere questo contenuto, devi Accedere o Registrarti.

E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.

[AWESOME]angle-double-right[/AWESOME] 0xbro​
 
  • Mi piace
Reazioni: flo0p, Linux tux, r4ns0 e altri 19
Non sono molto esperto di virus ma collegare il telefono infetto al pc non è uno sbaglio? Non potrebbe duplicarsi al collegamento? Alla fine non sapevi che tipo di virus era.
 
Mr. Aiden ha detto:
Non sono molto esperto di virus ma collegare il telefono infetto al pc non è uno sbaglio? Non potrebbe duplicarsi al collegamento? Alla fine non sapevi che tipo di virus era.
Clicca per espandere...
Credo che, in questo caso, non si corra il rischio poichè il malware era specifio per quella sola piattaforma (Anrdoid è basato su Linux e non gira su Windows). Inoltre potrebbe anche essere che adb crea un collegamento "uni-laterale", ma non ne sono comunque sicuro.
 
  • Mi piace
Reazioni: hck2009
0xbro ha detto:
Credo che, in questo caso, non si corra il rischio poichè il malware era specifio per quella sola piattaforma (Anrdoid è basato su Linux e non gira su Windows). Inoltre potrebbe anche essere che adb crea un collegamento "uni-laterale", ma non ne sono comunque sicuro.
Clicca per espandere...
Giusto, dimenticavo questo dettaglio. Grazie mille
 
Ultima modifica:
Ciao, mi ritengo poco più che un utente medio, attento a non cadere in errori ma..come si suol dire "Errare humanum est", soprattutto perché mi ritrovo spesso a scaricare da store non ufficiali.

Per questo motivo uso Bit Defender, con abbonamento mensile (1 euro)
Non fa ovviamente miracoli ma.. mi ha salvato già in 3 occasioni.C

Cosa non da poco: uno dei "Salvataggi" è stato fatto su un app scaricata da store ufficiale (*Non ricordo bene se fosse Gplay) contenente un Adware, successivamente rimossa dallo store.
 
  • Mi piace
Reazioni: 0xbro
Molto interessante, non credo di aver mai preso un malware nel telefono, al contrario del PC, pero' capisco benissimo la situazione. La caccia al malware su mobile e' disastrosa, forse dovuta al fatto che i bassi privilegi e il ridurre tutto a "sandbox" e' un'arma a doppio taglio. Infatti quando qualcuno mi chiede se posso verificare la presenza di un malware sul loro Android non so dove mettere mano a parte le cose ovvie, mentre sul PC hai a disposizione un infinita' di strumenti. Questo e' anche il motivo per cui gli "antivirus" per android sono tutti fuffa: l'AV non ha i privilegi necessari per fare i dovuti controlli, per cui si limita alle banali firme ben conosciute.
Tutto questo finche' non hai i privilegi di root :myeah:
 
  • Mi piace
  • Love
Reazioni: LinuxUser, Sunacchi e 0xbro
Ni. O meglio, hai ragione ma... Ci sono diverse tipologie di utenti..

- Chi ha una scarsa dimestichezza con Android beneficia di un buon antivirus per cose basilari come il blocco avanzato di file non certificati, protezione da siti web dannosi etc

- Chi ha un minimo di dimestichezza ed inizia a "smanettare" che ne beneficia più delle altre due categorie ( e da qui in poi il root credo sia fondamentale)

- Gli esperti, che ne possono beneficiare in rari casi quando, come successo nell'esempio del post, c'è una distrazione.

Io, nel dubbio, per 1 euro al mese mi paro il culo quanto possibile.
 
0xbro ha detto:


Malware sul mio telefono Android!​

Tempo di lettura stimato: 5 min
Tratto da una storia vera, articolo originale qui

Ho una confessione da fare di cui non sono molto orgoglioso: di recente, ho involontariamente installato un malware sul mio telefono Android. Essendo uno dei primi membri del team Android e uno che usa Android da circa tredici anni, è stato un evento piuttosto umiliante e irritante.
Mi ricordo bene com'è iniziato tutto: ho sbloccato il mio telefono, ero sovrappensiero. Due rapidi e accidentali click sullo schermo e ho così acconsentito un messaggio che il mio cervello ha registrato immediatamente come sospettoso.

Subito non ho notato nulla di strano, il giorno dopo, però, la sorpresa. Ho acceso il telefono, ho aperto Chrome e ho subito notato che all'interno dell'app erano state aperte decine di pagine con URLs chiaramente spam, che ovviamente non avevo aperto io. E' stato in quel momento che ho realizzato cosa fosse realmente successo.


DefCon 5​

Non avendo molto tempo la mattina della scoperta, ho optato per una soluzione semplice e temporanea: ho cambiato il browser predefinito, passando da Chrome a un altro browser. Poche ore dopo, però, l'evento. Come successo la mattina, anche sul nuovo browser ho trovato aperte molte altre pagine spam.
I sospetti si fanno sempre più fitti.


DefCon 4​

Ho controllato tutte le app e ne ho disabilitate e cancellate parecchie. Ho anche scaricato MalwareBytes e gli ho fatto fare una passata, ma nessun risultato. Stessa cosa Google Play Protect, nessun esito. Devo essermi perso l'app malevola. Intano gli URL continuano ad aumentare.


DefCon 3​

E' ora di passare alle maniere forti. Collego il mio telefono al pc e lancio adb. Inizio controllando l'elenco delle ultime attività... cattiva idea, l'output è così voluminoso che trovare qualcosa di utile è come cercare un ago nel pagliaio. Ispeziono anche tutti i servizi e le loro applicazioni associate, ma di nuovo, è impossibile trovare qualcosa di sospetto, ci sono troppe informazioni. Anche i `greps' ben mirati non hanno effetto.
Devo escogitarmi qualcos'altro di più efficace.


DefCon 2​

Lasciamo perdere la caccia al tesoro con adb. E' ora di lanciare Andoird Studio. Filtro l'output di logcat su http?://, sposto la finestra a lato e riprendo la mia normale attività, con un occhio sempre vigile alle finestre del mio cellulare, sugli URL visitati e sui log del sistema operativo.

Ecco che, puntuali come un orologio svizzero, gli url si ripresentano. Questa volta però sono pronto!
Bash: 
2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237
Ah ha! Preso! Finalmente ho un uid che sono riuscito a estrapolare tramite grep dall'output di logcat.
Bash: 
2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))
Il nome del package risulta essere "com.qrcodescanner.barcodescanner". Sembra che l'app malevola si mascheri in verità da scanner di codici QR dunque. Dando ora un'altra occhiata all'elenco delle app, individuarla risulta adesso molto più semplice :myeah:

L'ho disinstallata. E' passata qualche ora. Sono felice di constatare che gli URLs spam non compaiono più.


Tornando al DefCon 5​

Sono tornato sul Play Store e ho cercato di trovare l'applicazione che ho appena disinstallato, ma non sono riuscito a trovarla. Probabilmente Google l'ha rimossa dallo store qualche tempo fa. Il malware che ho attivato probabilmente ha fatto il side-load dopo che ne ho inavvertitamente approvato l'installazione.
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.

Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?


Conclusioni e suggerimenti​

  • Quando si elencano le app installate sul telefono, si dovrebbe avere anche la possibilità di ordinarle per "Ultima installazione". Sono abbastanza sicuro che se avessi avuto questa opzione e avessi visto installato un QR Code Scanner da pochi giorni, la cosa avrebbe immediatamente attirato la mia attenzione. Così com'è ora, il modo in cui Android elenca le applicazioni installate è piuttosto inutile a tal riguardo.​
  • MalwareBytes è stato completamente inutile e l'ho immediatamente disinstallato dopo essermene reso conto. Il problema è che probabilmente cerca solo le firme dei malware all'interno dei packages invece di limitarsi a guardare quali app siano installate e da dove provengano.​
  • Anche Google Play Protect è stato completamente inutile, il che è stata una grande delusione. Primo, perché Google sa certamente quali applicazioni sono state rimosse dallo store a causa di malware. In secondo luogo, mi aspetterei che Google Play Protect indicasse almeno quali sono le applicazione sul mio telefono che non sono all'interno dello store. Un' app del genere non è necessariamente un malware, però dovrebbe essere comunque segnalata.​
  • Google Play Protect potrebbe anche fare un po' di monitoraggio del comportamento delle app in background per analizzare e capire che cosa facciano. Un servizio che lancia in maniera ricorrente dei 'VIEW intents' verso diveri siti, rimanendo sempre in background, dovrebbe (almeno) attirare l'attenzione del sistema.​


Morale della storia:​

Da questa breve e avventurosa storia possiamo imparare diverse cose:
*** Hidden text: cannot be quoted. ***

E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.

[AWESOME]angle-double-right[/AWESOME] 0xbro​
Clicca per espandere...
non potevi risolvere prima con una formattazione?
 
The King of BlackOut ha detto:
non potevi risolvere prima con una formattazione?
Clicca per espandere...
Partendo dal presupposto che la storia non è la mia, formattare è sempre una soluzione border-line. E' vero che nel 99.99% dei casi risolvi, ma è altrettanto vero che perdi tutti i dati che hai. Se hai fatto backup o archiviato i file non ci sono problemi, però io la reputo quasi sempre l'ultima spiaggia
 
0xbro ha detto:
Partendo dal presupposto che la storia non è la mia, formattare è sempre una soluzione border-line. E' vero che nel 99.99% dei casi risolvi, ma è altrettanto vero che perdi tutti i dati che hai. Se hai fatto backup o archiviato i file non ci sono problemi, però io la reputo quasi sempre l'ultima spiaggia
Clicca per espandere...
Ciao, post interessante. Io invece ritengo la formattazione la spiaggia più sicura in questi casi in quanto tagli la testa al toro dal principio, ovviamente se accompagnata da un backup sistematico.
 
io ho provato a formattare piu volte ma sono sicuro che il problema ancora non e sparito?? mi sento di essere spiato quando lo smartphone e online puo darsi che il problema viene dalla linea??
 
kimeracorporation3000 ha detto:
io ho provato a formattare piu volte ma sono sicuro che il problema ancora non e sparito?? mi sento di essere spiato quando lo smartphone e online puo darsi che il problema viene dalla linea??
Clicca per espandere...
Impossibile, con un ripristino alle impostazioni di fabbrica tutto quando viene resettato.
Quali sono le evidenze di questo essere spiati? Cosa te lo fa pensare?
 
noto che quando il cell e collegato alla rete e guardo un film o messaggio sento che sono controllato non voglio andare nei dettagli qui sul forum in caso posso mandarti un mex privato e te lo spiego.. comunque a chi mi potrei rivolgere per risolvere questo problema?? non mi va di andare dalla polizia postale se posso evitare.. ce qualche esperto a pagamento di cyber sicurezza per privati..?? ho cercato su internet ci sono ma non per privati solo aziende..
 
kimeracorporation3000 ha detto:
comunque a chi mi potrei rivolgere per risolvere questo problema?? non mi va di andare dalla polizia postale se posso evitare.. ce qualche esperto a pagamento di cyber sicurezza per privati..?? ho cercato su internet ci sono ma non per privati solo aziende..
Clicca per espandere...
L'unica realmente attendibile è la postale oppure aziende private (che ti spillano non poco), il resto che trovi sul web è al 99% truffa
 

DISCUSSIONI SIMILI

T
Discussione Malware Exploit Nuova falla negli account google, possibile accesso da terze parti senza password
  • 5
  • 445
5
445
Advanced Hacking
ne0h
0
Guida Android Application Penetration Testing - Concetti e Basi
  • Release
  • 3
  • 3K
3
3K
Pentesting e Ethical Hacking Guide e Tools
0xbro
N
Discussione Kinsing malware - Stato della ricerca, stato della caccia all'uomo (è in Svezia?) e guida alla rimozione (CVE-2023-32315)
  • Chiuso
  • 0
  • 373
0
373
Sicurezza Informatica
Netcat
D
Mod Switch [GUIDA]Android su Nintendo Switch con Lineage OS 17.1 e Beta Lineage OS 18.1 (Android 11)
  • 9
  • 2K
9
2K
Nintendo Modding Guide e Tools
briscola1
0
Guida I migliori libri per studiare l'Ethical Hacking e Penetration Testing nel 2024
  • Release
  • In evidenza
  • 29
  • 8K
29
8K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Top Bottom
Indietro