Benvenuto su Inforge
Rimuovi la pubblicità e partecipa alla più grande comunità italiana sul mondo digitale presente sul web sin dal 2007.
Iscriviti

Discussione Malware sul mio telefono Android!

0xbro

Moderatore
24 Febbraio 2017
3,376
2,416
894

Malware sul mio telefono Android!​

Tempo di lettura stimato: 5 min
Tratto da una storia vera, articolo originale qui
malware-smartphone-android.jpg

Ho una confessione da fare di cui non sono molto orgoglioso: di recente, ho involontariamente installato un malware sul mio telefono Android. Essendo uno dei primi membri del team Android e uno che usa Android da circa tredici anni, è stato un evento piuttosto umiliante e irritante.
Mi ricordo bene com'è iniziato tutto: ho sbloccato il mio telefono, ero sovrappensiero. Due rapidi e accidentali click sullo schermo e ho così acconsentito un messaggio che il mio cervello ha registrato immediatamente come sospettoso.

Subito non ho notato nulla di strano, il giorno dopo, però, la sorpresa. Ho acceso il telefono, ho aperto Chrome e ho subito notato che all'interno dell'app erano state aperte decine di pagine con URLs chiaramente spam, che ovviamente non avevo aperto io. E' stato in quel momento che ho realizzato cosa fosse realmente successo.

DefCon 5​

Non avendo molto tempo la mattina della scoperta, ho optato per una soluzione semplice e temporanea: ho cambiato il browser predefinito, passando da Chrome a un altro browser. Poche ore dopo, però, l'evento. Come successo la mattina, anche sul nuovo browser ho trovato aperte molte altre pagine spam.
I sospetti si fanno sempre più fitti.

DefCon 4​

Ho controllato tutte le app e ne ho disabilitate e cancellate parecchie. Ho anche scaricato MalwareBytes e gli ho fatto fare una passata, ma nessun risultato. Stessa cosa Google Play Protect, nessun esito. Devo essermi perso l'app malevola. Intano gli URL continuano ad aumentare.

DefCon 3​

E' ora di passare alle maniere forti. Collego il mio telefono al pc e lancio adb. Inizio controllando l'elenco delle ultime attività... cattiva idea, l'output è così voluminoso che trovare qualcosa di utile è come cercare un ago nel pagliaio. Ispeziono anche tutti i servizi e le loro applicazioni associate, ma di nuovo, è impossibile trovare qualcosa di sospetto, ci sono troppe informazioni. Anche i `greps' ben mirati non hanno effetto.
Devo escogitarmi qualcos'altro di più efficace.

DefCon 2​

Lasciamo perdere la caccia al tesoro con adb. E' ora di lanciare Andoird Studio. Filtro l'output di logcat su http?://, sposto la finestra a lato e riprendo la mia normale attività, con un occhio sempre vigile alle finestre del mio cellulare, sugli URL visitati e sui log del sistema operativo.
maxresdefault.jpg

Ecco che, puntuali come un orologio svizzero, gli url si ripresentano. Questa volta però sono pronto!
Bash:
2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237
Ah ha! Preso! Finalmente ho un uid che sono riuscito a estrapolare tramite grep dall'output di logcat.
Bash:
2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))
Il nome del package risulta essere "com.qrcodescanner.barcodescanner". Sembra che l'app malevola si mascheri in verità da scanner di codici QR dunque. Dando ora un'altra occhiata all'elenco delle app, individuarla risulta adesso molto più semplice :myeah:

L'ho disinstallata. E' passata qualche ora. Sono felice di constatare che gli URLs spam non compaiono più.

Tornando al DefCon 5​

Sono tornato sul Play Store e ho cercato di trovare l'applicazione che ho appena disinstallato, ma non sono riuscito a trovarla. Probabilmente Google l'ha rimossa dallo store qualche tempo fa. Il malware che ho attivato probabilmente ha fatto il side-load dopo che ne ho inavvertitamente approvato l'installazione.
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.

Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?

Conclusioni e suggerimenti​

  • Quando si elencano le app installate sul telefono, si dovrebbe avere anche la possibilità di ordinarle per "Ultima installazione". Sono abbastanza sicuro che se avessi avuto questa opzione e avessi visto installato un QR Code Scanner da pochi giorni, la cosa avrebbe immediatamente attirato la mia attenzione. Così com'è ora, il modo in cui Android elenca le applicazioni installate è piuttosto inutile a tal riguardo.​
  • MalwareBytes è stato completamente inutile e l'ho immediatamente disinstallato dopo essermene reso conto. Il problema è che probabilmente cerca solo le firme dei malware all'interno dei packages invece di limitarsi a guardare quali app siano installate e da dove provengano.​
  • Anche Google Play Protect è stato completamente inutile, il che è stata una grande delusione. Primo, perché Google sa certamente quali applicazioni sono state rimosse dallo store a causa di malware. In secondo luogo, mi aspetterei che Google Play Protect indicasse almeno quali sono le applicazione sul mio telefono che non sono all'interno dello store. Un' app del genere non è necessariamente un malware, però dovrebbe essere comunque segnalata.​
  • Google Play Protect potrebbe anche fare un po' di monitoraggio del comportamento delle app in background per analizzare e capire che cosa facciano. Un servizio che lancia in maniera ricorrente dei 'VIEW intents' verso diveri siti, rimanendo sempre in background, dovrebbe (almeno) attirare l'attenzione del sistema.​


Morale della storia:​

Da questa breve e avventurosa storia possiamo imparare diverse cose:

E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.

0xbro​
 

Mr. Aiden

Utente Silver
28 Agosto 2019
179
37
75
Non sono molto esperto di virus ma collegare il telefono infetto al pc non è uno sbaglio? Non potrebbe duplicarsi al collegamento? Alla fine non sapevi che tipo di virus era.
 

0xbro

Moderatore
24 Febbraio 2017
3,376
2,416
894
Non sono molto esperto di virus ma collegare il telefono infetto al pc non è uno sbaglio? Non potrebbe duplicarsi al collegamento? Alla fine non sapevi che tipo di virus era.
Credo che, in questo caso, non si corra il rischio poichè il malware era specifio per quella sola piattaforma (Anrdoid è basato su Linux e non gira su Windows). Inoltre potrebbe anche essere che adb crea un collegamento "uni-laterale", ma non ne sono comunque sicuro.
 
  • Mi piace
Reactions: hck2009
Supporta Inforge con un acquisto su NordVPN
Supporta Inforge con una donazione

Mr. Aiden

Utente Silver
28 Agosto 2019
179
37
75
Credo che, in questo caso, non si corra il rischio poichè il malware era specifio per quella sola piattaforma (Anrdoid è basato su Linux e non gira su Windows). Inoltre potrebbe anche essere che adb crea un collegamento "uni-laterale", ma non ne sono comunque sicuro.
Giusto, dimenticavo questo dettaglio. Grazie mille
 

Sunacchi

Utente Electrum
16 Novembre 2009
183
99
135
Ultima modifica:
Ciao, mi ritengo poco più che un utente medio, attento a non cadere in errori ma..come si suol dire "Errare humanum est", soprattutto perché mi ritrovo spesso a scaricare da store non ufficiali.

Per questo motivo uso Bit Defender, con abbonamento mensile (1 euro)
Non fa ovviamente miracoli ma.. mi ha salvato già in 3 occasioni.C

Cosa non da poco: uno dei "Salvataggi" è stato fatto su un app scaricata da store ufficiale (*Non ricordo bene se fosse Gplay) contenente un Adware, successivamente rimossa dallo store.
 
  • Mi piace
Reactions: 0xbro

JunkCoder

Moderatore
5 Giugno 2020
730
583
310
Molto interessante, non credo di aver mai preso un malware nel telefono, al contrario del PC, pero' capisco benissimo la situazione. La caccia al malware su mobile e' disastrosa, forse dovuta al fatto che i bassi privilegi e il ridurre tutto a "sandbox" e' un'arma a doppio taglio. Infatti quando qualcuno mi chiede se posso verificare la presenza di un malware sul loro Android non so dove mettere mano a parte le cose ovvie, mentre sul PC hai a disposizione un infinita' di strumenti. Questo e' anche il motivo per cui gli "antivirus" per android sono tutti fuffa: l'AV non ha i privilegi necessari per fare i dovuti controlli, per cui si limita alle banali firme ben conosciute.
Tutto questo finche' non hai i privilegi di root :myeah:
 
Supporta Inforge con un acquisto su NordVPN
Rodnia -  The Great Conqueror

Sunacchi

Utente Electrum
16 Novembre 2009
183
99
135
Ni. O meglio, hai ragione ma... Ci sono diverse tipologie di utenti..

- Chi ha una scarsa dimestichezza con Android beneficia di un buon antivirus per cose basilari come il blocco avanzato di file non certificati, protezione da siti web dannosi etc

- Chi ha un minimo di dimestichezza ed inizia a "smanettare" che ne beneficia più delle altre due categorie ( e da qui in poi il root credo sia fondamentale)

- Gli esperti, che ne possono beneficiare in rari casi quando, come successo nell'esempio del post, c'è una distrazione.

Io, nel dubbio, per 1 euro al mese mi paro il culo quanto possibile.
 

The King of BlackOut

Utente Iron
21 Ottobre 2020
33
7
19


Malware sul mio telefono Android!​

Tempo di lettura stimato: 5 min
Tratto da una storia vera, articolo originale qui

Ho una confessione da fare di cui non sono molto orgoglioso: di recente, ho involontariamente installato un malware sul mio telefono Android. Essendo uno dei primi membri del team Android e uno che usa Android da circa tredici anni, è stato un evento piuttosto umiliante e irritante.
Mi ricordo bene com'è iniziato tutto: ho sbloccato il mio telefono, ero sovrappensiero. Due rapidi e accidentali click sullo schermo e ho così acconsentito un messaggio che il mio cervello ha registrato immediatamente come sospettoso.

Subito non ho notato nulla di strano, il giorno dopo, però, la sorpresa. Ho acceso il telefono, ho aperto Chrome e ho subito notato che all'interno dell'app erano state aperte decine di pagine con URLs chiaramente spam, che ovviamente non avevo aperto io. E' stato in quel momento che ho realizzato cosa fosse realmente successo.


DefCon 5​

Non avendo molto tempo la mattina della scoperta, ho optato per una soluzione semplice e temporanea: ho cambiato il browser predefinito, passando da Chrome a un altro browser. Poche ore dopo, però, l'evento. Come successo la mattina, anche sul nuovo browser ho trovato aperte molte altre pagine spam.
I sospetti si fanno sempre più fitti.


DefCon 4​

Ho controllato tutte le app e ne ho disabilitate e cancellate parecchie. Ho anche scaricato MalwareBytes e gli ho fatto fare una passata, ma nessun risultato. Stessa cosa Google Play Protect, nessun esito. Devo essermi perso l'app malevola. Intano gli URL continuano ad aumentare.


DefCon 3​

E' ora di passare alle maniere forti. Collego il mio telefono al pc e lancio adb. Inizio controllando l'elenco delle ultime attività... cattiva idea, l'output è così voluminoso che trovare qualcosa di utile è come cercare un ago nel pagliaio. Ispeziono anche tutti i servizi e le loro applicazioni associate, ma di nuovo, è impossibile trovare qualcosa di sospetto, ci sono troppe informazioni. Anche i `greps' ben mirati non hanno effetto.
Devo escogitarmi qualcos'altro di più efficace.


DefCon 2​

Lasciamo perdere la caccia al tesoro con adb. E' ora di lanciare Andoird Studio. Filtro l'output di logcat su http?://, sposto la finestra a lato e riprendo la mia normale attività, con un occhio sempre vigile alle finestre del mio cellulare, sugli URL visitati e sui log del sistema operativo.

Ecco che, puntuali come un orologio svizzero, gli url si ripresentano. Questa volta però sono pronto!
Bash:
2021-01-09 11:01:14.651 3655-4415/? I/ActivityTaskManager: START u0
{act=android.intent.action.VIEW dat=https://vbg.dorputolano.com/...
flg=0x10000000 cmp=org.adblockplus.browser.beta/com.google.android.apps.chrome.IntentDispatcher} from uid 10237
Ah ha! Preso! Finalmente ho un uid che sono riuscito a estrapolare tramite grep dall'output di logcat.
Bash:
2021-01-09 11:01:13.810 3655-3655/? I/EdgeLightingManager: showForNotification :
isInteractive=false, isHeadUp=true, color=0,
sbn = StatusBarNotification(pkg=com.qrcodescanner.barcodescanner user=UserHandle{0} id=1836 tag=null
key=0|com.qrcodescanner.barcodescanner|1836|null|10237: Notification(channel=sfsdfsdfsd pri=2 contentView=null
vibrate=null sound=null defaults=0x0 flags=0x90 color=0x00000000 vis=PRIVATE semFlags=0x0 semPriority=0 semMissedCount=0))
Il nome del package risulta essere "com.qrcodescanner.barcodescanner". Sembra che l'app malevola si mascheri in verità da scanner di codici QR dunque. Dando ora un'altra occhiata all'elenco delle app, individuarla risulta adesso molto più semplice :myeah:

L'ho disinstallata. E' passata qualche ora. Sono felice di constatare che gli URLs spam non compaiono più.


Tornando al DefCon 5​

Sono tornato sul Play Store e ho cercato di trovare l'applicazione che ho appena disinstallato, ma non sono riuscito a trovarla. Probabilmente Google l'ha rimossa dallo store qualche tempo fa. Il malware che ho attivato probabilmente ha fatto il side-load dopo che ne ho inavvertitamente approvato l'installazione.
Alcune ricerche forensi e altre online mi hanno rivelato un articolo del 2018 che trattava riguardo a un malware all'interno di un lettore di QR Code. Il package e la modalità di funzionamento, però, non corrispondo a quanto ho trovato sul mio device. Probabilmente sto avendo a che fare con una copia.

Ripensandoci, mi sento piuttosto deluso dal fatto di aver dovuto affrontare tutti questi step per sbarazzarmi di una semplice applicazione scam. Cosa avrebbe fatto un utente normale se gli fosse capitata la stessa cosa?


Conclusioni e suggerimenti​

  • Quando si elencano le app installate sul telefono, si dovrebbe avere anche la possibilità di ordinarle per "Ultima installazione". Sono abbastanza sicuro che se avessi avuto questa opzione e avessi visto installato un QR Code Scanner da pochi giorni, la cosa avrebbe immediatamente attirato la mia attenzione. Così com'è ora, il modo in cui Android elenca le applicazioni installate è piuttosto inutile a tal riguardo.​
  • MalwareBytes è stato completamente inutile e l'ho immediatamente disinstallato dopo essermene reso conto. Il problema è che probabilmente cerca solo le firme dei malware all'interno dei packages invece di limitarsi a guardare quali app siano installate e da dove provengano.​
  • Anche Google Play Protect è stato completamente inutile, il che è stata una grande delusione. Primo, perché Google sa certamente quali applicazioni sono state rimosse dallo store a causa di malware. In secondo luogo, mi aspetterei che Google Play Protect indicasse almeno quali sono le applicazione sul mio telefono che non sono all'interno dello store. Un' app del genere non è necessariamente un malware, però dovrebbe essere comunque segnalata.​
  • Google Play Protect potrebbe anche fare un po' di monitoraggio del comportamento delle app in background per analizzare e capire che cosa facciano. Un servizio che lancia in maniera ricorrente dei 'VIEW intents' verso diveri siti, rimanendo sempre in background, dovrebbe (almeno) attirare l'attenzione del sistema.​



Morale della storia:​

Da questa breve e avventurosa storia possiamo imparare diverse cose:
*** Hidden text: cannot be quoted. ***

E a voi invece è mai capitato qualcosa del genere? Cosa fareste nel caso in cui il vostro device venisse infettato da qualche malware?
Riflettiamoci ora, prima che arrivi il momento di intervenire.

0xbro​
non potevi risolvere prima con una formattazione?
 

0xbro

Moderatore
24 Febbraio 2017
3,376
2,416
894
non potevi risolvere prima con una formattazione?
Partendo dal presupposto che la storia non è la mia, formattare è sempre una soluzione border-line. E' vero che nel 99.99% dei casi risolvi, ma è altrettanto vero che perdi tutti i dati che hai. Se hai fatto backup o archiviato i file non ci sono problemi, però io la reputo quasi sempre l'ultima spiaggia
 
Supporta Inforge con una donazione
Rodnia -  The Great Conqueror

R3dCr0w

Utente Iron
1 Ottobre 2019
1
0
8
Partendo dal presupposto che la storia non è la mia, formattare è sempre una soluzione border-line. E' vero che nel 99.99% dei casi risolvi, ma è altrettanto vero che perdi tutti i dati che hai. Se hai fatto backup o archiviato i file non ci sono problemi, però io la reputo quasi sempre l'ultima spiaggia
Ciao, post interessante. Io invece ritengo la formattazione la spiaggia più sicura in questi casi in quanto tagli la testa al toro dal principio, ovviamente se accompagnata da un backup sistematico.
 

0xbro

Moderatore
24 Febbraio 2017
3,376
2,416
894
io ho provato a formattare piu volte ma sono sicuro che il problema ancora non e sparito?? mi sento di essere spiato quando lo smartphone e online puo darsi che il problema viene dalla linea??
Impossibile, con un ripristino alle impostazioni di fabbrica tutto quando viene resettato.
Quali sono le evidenze di questo essere spiati? Cosa te lo fa pensare?
 
Banner pubblicitario per Bright Data su Inforge.net azienda di vendita Proxy, Data Collector e Content Unlocker
Supporta Inforge con un acquisto su NordVPN

kimeracorporation3000

Utente Iron
4 Settembre 2019
43
6
18
noto che quando il cell e collegato alla rete e guardo un film o messaggio sento che sono controllato non voglio andare nei dettagli qui sul forum in caso posso mandarti un mex privato e te lo spiego.. comunque a chi mi potrei rivolgere per risolvere questo problema?? non mi va di andare dalla polizia postale se posso evitare.. ce qualche esperto a pagamento di cyber sicurezza per privati..?? ho cercato su internet ci sono ma non per privati solo aziende..
 

0xbro

Moderatore
24 Febbraio 2017
3,376
2,416
894
comunque a chi mi potrei rivolgere per risolvere questo problema?? non mi va di andare dalla polizia postale se posso evitare.. ce qualche esperto a pagamento di cyber sicurezza per privati..?? ho cercato su internet ci sono ma non per privati solo aziende..
L'unica realmente attendibile è la postale oppure aziende private (che ti spillano non poco), il resto che trovi sul web è al 99% truffa
 
Supporta Inforge con una donazione
Supporta Inforge con un acquisto su NordVPN