Malware sul mio telefono Android!
Malware sul mio telefono Android!
Ho una confessione da fare di cui non sono molto orgoglioso: di recente, ho involontariamente installato un malware sul mio telefono Android. Essendo uno dei primi membri del team Android e uno che usa Android da circa tredici anni, è stato un evento piuttosto umiliante e irritante.
Mi ricordo bene com'è iniziato tutto: ho sbloccato il mio telefono, ero sovrappensiero. Due rapidi e accidentali click sullo schermo e ho così acconsentito un messaggio che il mio cervello ha registrato immediatamente come sospettoso.
Subito non ho notato nulla di strano, il giorno dopo, però, la sorpresa. Ho acceso il telefono, ho aperto Chrome e ho subito notato che all'interno dell'app erano state aperte decine di pagine con URLs chiaramente spam, che ovviamente non avevo aperto io. E' stato in quel momento che ho realizzato cosa fosse realmente successo.
DefCon 5
DefCon 5
Non avendo molto tempo la mattina della scoperta, ho optato per una soluzione semplice e temporanea: ho cambiato il browser predefinito, passando da Chrome a un altro browser. Poche ore dopo, però, l'evento. Come successo la mattina, anche sul nuovo browser ho trovato aperte molte altre pagine spam.
I sospetti si fanno sempre più fitti.
I sospetti si fanno sempre più fitti.
DefCon 4
DefCon 4
Ho controllato tutte le app e ne ho disabilitate e cancellate parecchie. Ho anche scaricato MalwareBytes e gli ho fatto fare una passata, ma nessun risultato. Stessa cosa Google Play Protect, nessun esito. Devo essermi perso l'app malevola. Intano gli URL continuano ad aumentare.
DefCon 3
DefCon 3
E' ora di passare alle maniere forti. Collego il mio telefono al pc e lancio adb. Inizio controllando l'elenco delle ultime attività... cattiva idea, l'output è così voluminoso che trovare qualcosa di utile è come cercare un ago nel pagliaio. Ispeziono anche tutti i servizi e le loro applicazioni associate, ma di nuovo, è impossibile trovare qualcosa di sospetto, ci sono troppe informazioni. Anche i `greps' ben mirati non hanno effetto.
Devo escogitarmi qualcos'altro di più efficace.
Devo escogitarmi qualcos'altro di più efficace.
DefCon 2
DefCon 2
Lasciamo perdere la caccia al tesoro con adb. E' ora di lanciare Andoird Studio. Filtro l'output di logcat su
http?://
, sposto la finestra a lato e riprendo la mia normale attività, con un occhio sempre vigile alle finestre del mio cellulare, sugli URL visitati e sui log del sistema operativo.
Ecco che, puntuali come un orologio svizzero, gli url si ripresentano. Questa volta però sono pronto!
Bash:
2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237
Bash:
2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))
L'ho disinstallata. E' passata qualche ora. Sono felice di constatare che gli URLs spam non compaiono più.
Tornando al DefCon 5
Tornando al DefCon 5
Sono tornato sul Play Store e ho cercato di trovare l'applicazione che ho appena disinstallato, ma non sono riuscito a trovarla. Probabilmente Google l'ha rimossa dallo store qualche tempo fa. Il malware che ho attivato probabilmente ha fatto il side-load dopo che ne ho inavvertitamente approvato l'installazione.
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.
Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.
Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?
Conclusioni e suggerimenti
Conclusioni e suggerimenti
- Quando si elencano le app installate sul telefono, si dovrebbe avere anche la possibilità di ordinarle per "Ultima installazione". Sono abbastanza sicuro che se avessi avuto questa opzione e avessi visto installato un QR Code Scanner da pochi giorni, la cosa avrebbe immediatamente attirato la mia attenzione. Così com'è ora, il modo in cui Android elenca le applicazioni installate è piuttosto inutile a tal riguardo.
- MalwareBytes è stato completamente inutile e l'ho immediatamente disinstallato dopo essermene reso conto. Il problema è che probabilmente cerca solo le firme dei malware all'interno dei packages invece di limitarsi a guardare quali app siano installate e da dove provengano.
- Anche Google Play Protect è stato completamente inutile, il che è stata una grande delusione. Primo, perché Google sa certamente quali applicazioni sono state rimosse dallo store a causa di malware. In secondo luogo, mi aspetterei che Google Play Protect indicasse almeno quali sono le applicazione sul mio telefono che non sono all'interno dello store. Un' app del genere non è necessariamente un malware, però dovrebbe essere comunque segnalata.
- Google Play Protect potrebbe anche fare un po' di monitoraggio del comportamento delle app in background per analizzare e capire che cosa facciano. Un servizio che lancia in maniera ricorrente dei 'VIEW intents' verso diveri siti, rimanendo sempre in background, dovrebbe (almeno) attirare l'attenzione del sistema.
Morale della storia:
Morale della storia:
Da questa breve e avventurosa storia possiamo imparare diverse cose:
E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.
[AWESOME]angle-double-right[/AWESOME] 0xbro
Per vedere questo contenuto, devi Accedere o Registrarti.
E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.
[AWESOME]angle-double-right[/AWESOME] 0xbro