Lookout: “Sofisticato trojan per Android scoperto in Cina”

30 dicembre 201012 commenti

La società americana Lookout, specializzata nel campo della sicurezza mobile, tramite un post sul suo blog ufficiale ha voluto mettere in guardia tutti gli utenti Android per la scoperta di un nuovo trojan - "il più sofisticato fino ad oggi" -, chiamato Geinimi, che si infiltrerebbe nel sistema attraverso applicazioni considerate legittime e sicure tra cui, al momento, Monkey Jump 2, Sex Positions, President vs. Aliens, City Defense e Baseball Superstars 2010. Qual'è il suo funzionamento? Dice Lookout:
Quando un'applicazione contenente Geinimi viene lanciata sul telefono di un utente, il Trojan viene eseguito in background e raccoglie tutte le informazioni significative che possono compromettere la privacy di un utente. Le informazioni specifiche che raccoglie includono le coordinate di posizione e codici identificativi del dispositivo (IMEI) e della carta SIM (IMSI). A intervalli di cinque minuti, Geinimi tenta di connettersi a un server remoto utilizzando uno dei dieci domini incorporati. Un sottoinsieme comprende www.w**ifu.com, www.u**ore.com, www.f**jd.com, www.is**ast.com e www.pi**esj.com. Se si collega, Geinimi trasmette le informazioni raccolte dal dispositivo al server remoto. [..] Mentre la nostra analisi del codice Geinimi è in corso, abbiamo le prove delle seguenti funzionalità: • Invio delle coordinate di posizione (fine: localizzazione del device) • Invio dei codici identificativi del dispositivo (IMEI e IMSI) • Scarica e richiede all'utente di installare un'applicazione • Richiede all'utente di disinstallare un'applicazione • Elenca ed invia la lista delle applicazioni installate sul device al server

La particolarità di questa nuova minaccia che ha fatto alzare il livello di guarda da parte della società è il fatto che si tutela durante il suo “lavoro” da sguardi indiscreti tramite la crittografia e l’offuscamento bytecode. La sua diffusione tuttavia è ancora molto limitata perchè rivelato solamente in market esterni cinesi e non nell’Android Market ufficiale ed inoltre le applicazioni richiedono l’accesso a ben più dati di quelle normali, facendo capire all’utente che qualcosa non va.

L’unica raccomandazione da fare in questo caso è, comunque, di diffidare sempre delle applicazioni di terze parti di cui non si conosce la fonte.

In caso di aggiornamenti da parte della società vi faremo sapere.

Via

Loading...
  • Xfight

    Ci sono diversi problemi :
    – il programmatore può ottenere tutti i permessi che vuole sul telefono
    – l’utente medio non legge quasi mai la sfilza di permessi (pensa : se è nello store allora è normale e sicura)
    – google non fa tutti sti controlli sulle app
    – il multitask fa si che qualsiasi app possa diventare un daemon

    E’ vero che resta comunque un’app, ma basta avviarla una volta perché succeda il disastro : se non ricordo male, non è difficile far lanciare un’app al boot del telefono in background e quando un’app viene installata la prima cosa che viene chiesta è se si vuole avviarla così riesce a configurarsi completamente.

    L’ideale è che google faccia controlli rigorosi sulle app e magari allarmare meglio l’utente degli eventuali pericoli che incorre autorizzando troppi permessi. Purtroppo l’utente medio non pensa nemmeno che in uno store ufficiale ci siano app pericolose (al max instabili o non usabili per via della poca potenza del telefono).

  • Geniale! :P

    • Azatoth

      dici :D?
      Secondo me è il solito problema: utonti :D.
      Ogni app che installi chiede i vari permessi, se gli utenti non leggono… bhe è giusto che i loro dati finiscano in giro :D

      • Questo è vero ma da quanto ho letto nell’articolo inglese, il programmino funzionava in modo corretto ma sopratutto è il primo malware che puo ricevere dei comandi da internet da eseguire sul terminale.

        Questo significa che poteva diventare tranquillamente una botnet :P

        • Azatoth

          come puoi definire un malware quando questo per funzionare ti chiede i permessi :D?
          Malware è qualcosa che fa ciò che non dovrebbe senza avere il permesso esplicito per farlo.

          Immaginati una nostra app che richiede tutti i permessi del mondo e manda tutte le info trovate sul mio server. E’ un malware? No di certo… è un’app :D.

          Lo sarebbe nella misura in cui fa queste cose senza che io gli abbia dovuto esplicitare i permessi per farlo e quindi l’utente è all’oscuro delle ‘possibilità’ che l’applicazione che sta installando ha.
          Ti pare ;)?

          • Ganzdroid

            Beh dal punto di visto tecnico ti chiede i permessi, ma non ti dice che lo fa per fotterti.
            Magari vedi una bellissima donna che ti chiede ti toglierti i pantaloni, che fai? Te li togli.
            E dopo lei magari te lo taglia perchè da ragazza quando era grassa e brutta la prendevi in giro. Sono cose serie. Non bisogna scherzarci sù

  • Cybor069

    Riguardo i commenti precedenti penso che sia passata inosservata la parte dove dice “rivelato solamente in market esterni cinesi e non nell’Android Market ufficiale”

  • ABC

    Per sicurezza mi sono installato Lookout e gli ho fatto fare un giro anche se credo sia una trovata pubblicitaria per allarmare gli utenti ed installare, appunto, Lookout.

  • Danitkd

    secondo voi a quanto arriveranno i download di lookout dopo questo articolo?!

  • Posta Cla

    Scusate ma in quale misura questa “App” viene considerata un malware, visto che non fà altro che inviare Posizione, IMEI,e dati personali ad un server, dietro ovviamente al consenso dell’utente, come esattamente fanno altre MIGLIAIA di applicazioni.

    Casomai l’allarme dovrebbe essere su cosa ci fanno poi dei dati che ricevono, ma l’app in se non mi sembra faccia nulla di illecito.
    O sbaglio?

  • nel blog di Lookout (che sarebbe stato UTILE trovare linkato da qualche parte nell’articolo) spiega meglio che questo trojan gira in COPIE di applicazioni legittime infarcite dal codice maligno.

  • Melindaga

    Con termini elementari si potrebbe capire a cosa serve e quali funzioni e’ in grado di svolgere?