I ricercatori di ESET hanno scoperto una tecnica ben celata ma sorprendentemente semplice, che ha permesso al malware Android di essere individuato. Analizzando l’app DEFENSOR ID che era, in quel momento, disponibile sull’app store ufficiale Android, i ricercatori di ESET hanno appurato che i Servizi di accessibilità sono stati utilizzati in modo improprio.
“La funzione dei servizi di accessibilità è nota da tempo come il tallone d’Achille del sistema operativo Android e sono state messe a punto soluzioni di sicurezza per rilevare varie combinazioni di uso improprio di questo punto debole con altri indicatori di comportamento dannoso”, spiega Lukáš Štefanko, malware researcher ESET che ha condotto l’analisi all’interno dell’app DEFENSOR ID. Di fronte al malware che non mostrava funzionalità aggiuntive né autorizzazioni sospette in cima ai Servizi di accessibilità, tutti i meccanismi di sicurezza noti non sono riusciti a innescare alcun allarme. Di conseguenza, DEFENSOR ID è arrivato sul Google Play Store, rimanendo lì per alcuni mesi senza mai essere rilevato da alcun vendor di sicurezza che fa parte del VirusTotal program.
“Questa è stata una lezione preziosa per noi. Sulla base di ciò che abbiamo appreso su DEFENSOR ID, abbiamo perfezionato le nostre tecnologie di rilevamento in modo da far fronte anche al malware con un campione di rilevamento particolarmente basso”, afferma Štefanko. Oltre ad essere estremamente furtivo, DEFENSOR ID è in grado di infliggere gravi danni alle sue vittime. Appartiene alla categoria di malware trojan bancari ed è molto insidioso: una volta installato, ha bisogno che la sua vittima compia una sola azione per innescarsi.
“Una volta che l’utente attiva i servizi di accessibilità, DEFENSOR ID tra le altre azioni dannose, può spianare la strada all’attaccante per ripulire il conto bancario della vittima o il portafoglio di criptovaluta e prendere il controllo del suo account di posta elettronica o di quello social”, commenta Štefanko.
A seguito dell’avviso di ESET, Google ha rimosso DEFENSOR ID dall’app store Android ufficiale.
“Abbiamo deciso di pubblicare i risultati della nostra indagine su questo malware per aiutare i difensori a far fronte a malware Android a campionatura estremamente bassa. I creatori di tale malware dovranno sicuramente affrontare protezioni rafforzate sia su Google Play che sui dispositivi degli utenti “, conclude ŠETfanko di ESET.
Per maggiori dettagli https://www.welivesecurity.com/2020/05/22/insidious-android-malware-gives-up-all-malicious-features-but-one-gain-stealth/
