Come evolvono i malware per aggirare gli antivirus, sfruttando Google
Due gruppi di ricercatori scoprono nuovi trucchi con cui i malware eludono controlli di sicurezza e analisi. A base di Google Drive e sensori di movimento.
Google (foto: Wired.it)
La criminalità si evolve, a volte usando l’astuzia, a volte la tecnologia, a volte entrambe. Non è dunque strano che un paio delle più recenti minacce informatiche basino il loro funzionamento su un trucchetto tecnico e uno più psicologico. Al centro, però, lo stesso protagonista: Google.
Il sistema C&C
Forse saprete che una delle più ricorrenti e temibili minacce informatiche è il trojan, vale a dire un software malevolo che ha la capacità di prendere possesso del dispositivo della vittima che infetta. Di fatto, il trojan agisce come una sorta di passe-partout che, una volta attivato, regala l’accesso e il controllo del computer, o dello smartphone, al criminale informatico di turno.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Il malvivente, se le cose vanno come spera, si ritrova di fronte a una sorta di centralina con cui può gestire buona parte delle funzionidell’apparecchio. Per questo motivo, la tecnica di controllo è definita Command & control, o C&C per gli amici. Significa che il criminale, da remoto, ha potere di vita e di morte sui dati della vittima.
Ecco perché il trojan è il software d’elezione di un attacco Apt (Advanced persistence threat), cioè un attacco informatico che viene perpetrato per un periodo di tempo piuttosto lungo. Il criminale, o di solito il gruppo criminale, installa un trojan nei sistemi desiderati, e da quel momento puòentrare e uscire come si trattasse di un suo computer, per giorni, settimane, a volte anche mesi.
Effettuare un attacco Apt non è cosa semplice e richiede molte risorse, tanto che i gruppi criminali che ne sono responsabili sono pochi e ciascuno si distingue con un proprio nome.
No, le star di YouTube non ti hanno scritto: quell’email è una truffa
Uno dei più noti è Dark Hydrus Apt, specializzato in attacchi verso il Medio Oriente, che sfrutta abitualmente il trojan RogueRobin. Si tratta di un malware molto furbo, che si attiva dopo che la vittima apre un file Excel confezionato ad hoc.
A quel punto, viene trasferito un file Txt malevolo nella cartella dei file temporanei di Windows, nel computer della vittima, e tramite questo lancia il trojan vero e proprio.
Dal Dns a Google Drive
RogueRobin è dotato di funzioni avanzate, come per esempio la capacità di individuare se viene controllato in un ambiente sandbox (in pratica, un ambiente isolato in cui un file sospetto viene analizzato senza possibilità che infetti il sistema), senza considerare la capacità di scambiare dati e comandi col criminale attraverso la tecnica del Dns Tunneling, che di fatto rende molto difficile individuare la minaccia informatica.
I ricercatori di 360 Threat intelligence center e di Palo Alto Networks hanno scoperto di recente che la nuova versione di RogueRobin, in alternativa al Dns Tunneling, è in grado di sfruttare niente poco di meno che Google Drive. Semplificando, il malware è in grado di caricare e scaricare file, contenenti informazioni e comandi da scambiare coi criminali, dal noto sistema cloud di Google. Il che aumenta le possibilità di farla franca.
Col sensore è meglio
Se questo rappresenta un esempio di evoluzione dei malware dal punto di vista della centrale di comando, quindi l’ultimo anello della catena, eccone uno che invece si rivolge al primo anello. Ci arriva dai ricercatori di Trend Micro, che hanno scoperto due app malevole, presenti fino a qualche giorno fa nello store di Android, capaci di sfruttare il sensore di movimento per mascherarsi. I loro nomi sono Currency Converter e BatterySaverMobi. Dopo essere state installate agevolano l’infezione tramite il trojan Anubis, specializzato in frodi bancarie.
Intermezzo promozionale ... continua la lettura dopo il box:
Ma dove sta il trucco diabolico? Dovete sapere che quando dei ricercatori analizzano le app del Google Play Store lo fanno utilizzando degli emulatori. Dei programmi, cioè, che emulano il funzionamento di uno smartphone all’interno del computer di analisi. Va da sé che, trattandosi a tutti gli effetti di un computer e non di un vero smartphone, questo non utilizza alcun sensore di movimento. I ricercatori studiano con calma ogni app e, appena vedono un comportamento sospetto nell’emulatore, la segnalano, ottenendone la rimozione.
Queste due app, però, fanno un giochetto sporco: attivano le funzioni malevole solo se ricevono dati dal sensore di movimento. In questo modo, possono distinguere se si sono state installare in un vero smartphone o in un computer d’analisi. Va da sé che, da oggi, dopo la segnalazione di Trend Micro, ai ricercatori basterà inviare alle varie app che studiano dei dati di movimento farlocchi, per accertarsi che alcune di loro non sfruttino questo trucco.
Resta il fatto che, qualunque sia la tecnologia messa a punto per proteggerci anche da minacce di questo tipo, tutte, o quasi, si basano sempre sulla partecipazione inconsapevole della vittima. Un clic su un file Excel, l’installazione di un’app, il cedere alle lusinghe di una o uno spasimante finto. Occhio.
Come evolvono i malware per aggirare gli antivirus, sfruttando Google
