“BeNews“, questo il nome scelto, è una applicazione di backdoor che sfrutta lo stesso nome di un sito di notizie oramai decaduto: questo è uno dei motivi per cui sembrava legittima.
Nel leak abbiamo reperito il codice sorgente dell’applicazione, incluso un documento che insegna come utilizzarla. Basandoci su questo, crediamo che Hacking Team abbia fornito l’app agli utenti per indurre a scaricare il malware RCSAndroid.
La backdoor, ANDROIDOS_HTBENEWS.A può affliggere le versioni di Android da 2.2 Froyo a 4.4.4 KitKat, ma non necessariamente si limita solo a queste. Si tratta di un exploit che mira alla vulnerabilità di escalation dei privilegi locali nel sistema operativo di Google. L’exploit è noto da qualche mese, ed è stato impiegato in altri attacchi, come nel caso di TowelRoot.
Dando un’occhiata alle procedure nel source code, sembra che l’app aggiri le restrizioni di Google Play utilizzando una tecnologia di caricamento dinamico. Inizialmente, infatti, vengono richiesti tre permessi che possono essere giudicati sicuri dagli standard di Google Security, poiché non è presente alcun codice malevolo al momento dell’installazione. Ciononostante, il dynamic loading permette a BeNews di scaricare ed eseguire una parte del codice da Internet.
Il succo della questione è che l’analisi del colosso di Mountain View si ferma all’analisi dei sorgenti, quindi la procedura di download dati dinamica ha avvio solo mentre la vittima inizia ad usare l’app.
Avevate scaricato BeNews, o conoscete qualcuno che ce l’abbia avuta? Parlatene liberamente nei commenti.