Malware preinstallato:dovresti essere preoccupato?
Negli ultimi giorni, potresti esserti imbattuto in uno studio che mostra che alcuni smartphone Android escono subito dalla scatola già infettati da malware. Inizialmente, questo non aveva nulla a che fare con i produttori o i negozi che rivendono i dispositivi, ma potrebbe comunque essere rischioso per gli utenti.
- I 5 migliori strumenti anti-ransomware per proteggere il tuo PC
- Come proteggere il tuo PC dai ransomware
Risultati dello studio CheckPoint
La società di sicurezza digitale Check Point ha pubblicato i risultati di uno studio in cui 38 dispositivi, provenienti da due diversi client, sono risultati infetti da malware. In entrambi i casi, il malware è stato installato sul dispositivo in un punto sconosciuto della catena di approvvigionamento. In altre parole, qualche cattivo dipendente ha installato software dannoso su questi smartphone nel periodo che intercorre tra la loro produzione in fabbrica e la loro messa in vendita.
Seguendo questa logica, il malware in questione non faceva parte della ROM ufficiale fornita dal venditore. In sei casi, il virus è stato installato con privilegi di amministratore (accesso ROOT). Di conseguenza, il proprietario del dispositivo non sarebbe in grado di rimuovere il virus semplicemente ripristinando le impostazioni di fabbrica, il famoso reset. Per sbarazzarsi del virus dovrebbero eseguire un flash ROM ufficiale del dispositivo. In altre parole, reinstalla il software ufficiale del produttore.
Chi è responsabile di questo?
Secondo il team di ricerca, le minacce sono state trovate negli smartphone prodotti da due grandi aziende che, purtroppo, non sono state identificate nello studio CheckPoint. L'articolo afferma che una era una "grande azienda di telecomunicazioni" e l'altra una "multinazionale tecnologica".
La maggior parte del malware conteneva adware (ad es. malware Loki) e ladri di informazioni. In un caso è stato scoperto un ransomware, che crittograferà tutti i file su un dispositivo e quindi richiederà un riscatto in cambio della loro decrittazione. Quest'ultimo è chiaramente il peggiore possibile da trovare, in quanto potrebbe essere utilizzato per estorcere denaro a utenti di smartphone mirati.
La differenza tra adware e ransomware
| Adware | Ransomware |
|---|---|
| AD="pubblicità" e ware="software", è qualsiasi tipo di programma eseguito automaticamente che mostra un gran numero di annunci senza il permesso dell'utente. | Un tipo di malware che limita l'accesso al sistema infetto e addebita un riscatto per ristabilire tale accesso. |
Perché i dispositivi Android sono target regolari?
Essendo il sistema di piattaforma mobile più utilizzato al mondo, Android è un ovvio bersaglio per i crimini digitali. Per darti un'idea migliore, secondo StatCounter, un sito Web che monitora il traffico Web globale per raccogliere statistiche sull'utilizzo di browser e sistemi operativi, Google è sul punto di superare Windows come la più alta percentuale di dispositivi connessi. Il rapporto più recente dell'azienda ha mostrato che il 37,4% di tutti i dispositivi online utilizzava Android contro il 38,6% che utilizzava Windows.
A parte questo, il numero di dispositivi che eseguono il sistema operativo di Google è enorme ed è molto più grande dei dispositivi che eseguono la piattaforma Apple iOS.
Inoltre, la struttura di analisi delle app ospitate nel Google Play Store l'ha aperta ad alcuni degli sviluppatori più senza scrupoli attualmente operativi oggi, poiché il suo processo di selezione guidato dal computer consente il caricamento nello store di app dannose.
Il fatto che le versioni precedenti di Android siano ancora attualmente in uso non fa che aumentare la vulnerabilità del sistema. Google offre aggiornamenti mensili che contengono patch di sicurezza, ma solo per i dispositivi con Android 4.4 e versioni successive:
"Quando viene risolta una vulnerabilità di sicurezza di gravità moderata o superiore in AOSP, notificheremo ai partner Android i dettagli del problema e forniremo patch per almeno le tre versioni Android più recenti. Il team di sicurezza di Android fornisce attualmente patch per le versioni Android 4.4 (KitKat), 5.0 (Lollipop), 5.1 (Lollipop MR1) e 6.0 (Marshmallow). Questo elenco di versioni supportate da backport cambia con ogni nuova versione di Android", Google.
Non fraintendetemi qui, Android è ancora un sistema operativo molto sicuro. Poiché si tratta di un progetto open source, molti sviluppatori eseguono continuamente la manutenzione del sistema. Tuttavia, il fatto che sia così popolare e abbia un'assurda frammentazione lo rende vulnerabile agli attacchi.
Elenco dei dispositivi infetti e presi di mira
Pur non avendo i nomi delle due grandi aziende citate nel report, possiamo comunque fare riferimento all'elenco dei dispositivi infetti che sono stati immessi sul mercato.
Tuttavia, è molto importante notare che, a parte i dispositivi di seguito, ciò non significa necessariamente che tutti i dispositivi prodotti dai marchi elencati di seguito lasceranno la fabbrica con la loro sicurezza già compromessa. Secondo CheckPoint, alcuni modelli sono stati manomessi dopo che avevano già lasciato la fabbrica.
- Asus Zenfone 2
- Galaxy A5
- Galaxy S7
- Galaxy S4
- Bordo delle note della galassia
- Note Galaxy 2
- Note Galaxy 3
- Note Galaxy 4
- Note Galaxy 5
- Note Galaxy 8
- Scheda Galaxy S2
- Scheda Galaxy 2
- Lenovo S90
- Lenovo A850
- LG G4
- Oppo N3
- Oppo R7 plus
- Vivo X6 plus
- Xiaomi Mi 4i
- Xiaomi Redmi
- ZTE x500ZTE x500vivo
La cosa strana è che, tre giorni dopo la pubblicazione dello studio, i dispositivi Google Nexus sono stati rimossi dall'elenco senza ulteriori spiegazioni. I dispositivi sono stati rimossi a causa di un errore nell'analisi primaria? Sono stati tolti perché Google ha chiesto? Nonostante i miei migliori sforzi, non sono stato in grado di confermare nulla con il team di sviluppo della ricerca di CheckPoint.
Spionaggio:un problema nella società odierna
I risultati di questo studio sollevano una serie di preoccupazioni sulla sicurezza dei dispositivi mobili, ma lo spionaggio e l'uso della tecnologia per rubare dati a scopo di estorsione sono entrambi problemi chiave al di fuori del mercato degli smartphone.
Di recente, Wikileaks ha pubblicato la sua "più grande fuga di documenti segreti della CIA". Secondo il gruppo, gli 8.761 documenti del "Vault 7" contengono "diverse centinaia di milioni di righe di codice" e dimostrano come l'agenzia sia in grado di spiare qualsiasi smartphone con Android, iOS o Windows.
In altre parole, gli agenti della CIA stanno introducendo virus che, solo a titolo di esempio, possono consentire loro di accedere al microfono di uno smartphone, anche quando non è connesso. Ciò consente agli hacker delle agenzie di accedere a milioni di conversazioni in tutto il mondo.
Alla fine, a condizione che tu abbia le conoscenze e l'accesso necessari, è possibile intercettare la distribuzione di un dispositivo e manipolare il sistema in modo che un'agenzia governativa o una banda criminale possa avere il controllo completo. Questo è successo in passato quando il produttore cinese Xiaomi è stato accusato di inviare i dati degli utenti dai propri smartphone alla Cina.
All'epoca, il Redmi Note tentava continuamente di connettersi a un indirizzo IP a Pechino. Qui il dispositivo proverebbe a connettersi anche quando il servizio cloud era stato disabilitato. Peggio ancora, il problema persiste anche dopo che gli utenti hanno installato l'ultima versione ufficiale di Android. Xiaomi ha negato qualsiasi coinvolgimento nel caso.
Qualche tempo dopo i ricercatori di G Data, una società tedesca di sicurezza informatica, hanno scoperto che lo smartphone cinese, Generic Star N9500, conteneva lo stesso errore. Il malware, UUpay.D, era stato preinstallato su questi dispositivi. Stava rubando dati e inviandoli a un indirizzo IP cinese.
Come nel caso dello smartphone Xiaomi, il programma malware non può essere rimosso con il ripristino delle impostazioni di fabbrica. Questa violazione della sicurezza dell'N9500 consentirebbe a chiunque di ascoltare telefonate, accedere a e-mail e messaggi di testo, nonché controllare da remoto il microfono e la fotocamera del telefono. Qualsiasi somiglianza con il Vault 7 di Wikileaks non è solo una semplice coincidenza.
Come sapere se il tuo telefono è infetto
Ovviamente, la prima reazione della maggior parte delle persone quando sente questo tipo di notizie è di chiedersi:il mio dispositivo è infetto? Tieni presente, tuttavia, che anche se il tuo dispositivo è elencato, ciò non significa necessariamente che la sua sicurezza sia stata compromessa.
Sono riuscito a mettermi in contatto con Oren Koriat, un membro del CheckPoint Research Development Team, ma non sono stato in grado di ottenere maggiori informazioni sui dettagli dello studio prima della pubblicazione di questo articolo. Tuttavia, CheckPoint ha fornito alcuni suggerimenti sul proprio sito Web che gli utenti possono seguire:
- Evita di acquistare smartphone da negozi che non conosci o di cui non ti fidi tra gli utenti;
- Prima di acquistare un telefono, chiedi di esaminare il dispositivo. Accendi il dispositivo, naviga sul web, connettiti a una rete WiFi e così via. Se vedi annunci che sbloccano lo schermo o annunci che vengono visualizzati casualmente, non acquistare il dispositivo.
- Evita di scaricare app da store non ufficiali e non attendibili.
- Mantieni il tuo software aggiornato e con le patch di sicurezza appropriate.
Qual è l'azione più efficace in questo caso?
Se hai acquistato un dispositivo infetto, potresti non aver notato che conteneva malware. Nikos Chryssaidos, Head of Mobile Threat Intelligence and Security di Avast, consiglia di installare un'app antivirus per determinare se il tuo smartphone contiene malware preinstallato:
"L'antivirus è il principale e, in alcuni casi, l'unico modo per sapere se il tuo smartphone è infetto da malware. In molti casi, come questo, il malware è nascosto e viene eseguito in background, il che significa che il proprietario del telefono non vedrà l'icona del malware nell'elenco delle app in esecuzione sul telefono, in modo che il malware possa raccogliere informazioni personali e rimanere sul dispositivo più a lungo tempo possibile senza essere scoperti."
Gli smartphone possono lasciare la fabbrica infettati?
Fino a quando non sarà dimostrato il contrario:no, gli smartphone non possono lasciare la fabbrica infettati. Come ha evidenziato CheckPoint, esiste anche la possibilità che a un certo punto tra la produzione e il rilascio, il malware possa essere installato su un dispositivo da una terza parte.
Devi preoccuparti di questo? Forse. Se hai acquistato il tuo dispositivo da una fonte inaffidabile, allora sì.
C'è un modo per verificare se il tuo dispositivo è infetto? Sì. Se sei preoccupato o sospettoso sul fatto che il software del tuo smartphone sia legittimo o meno, installa un antivirus.
Hai bisogno di avere un antivirus installato sul tuo smartphone per essere sicuro? Non necessariamente. Se non utilizzi fonti non attendibili per scaricare app, non fai clic su popup che promettono sconti enormi o catene nelle app di messaggistica, sarai al sicuro con Android.
Sei preoccupato per i risultati dello studio di CheckPoint? Installerai un antivirus nel prossimo futuro? Fatelo sapere nei commenti qui sotto.