Come evolvono i malware per aggirare gli antivirus, sfruttando Google
Due gruppi di ricercatori scoprono nuovi trucchi con cui i malware eludono controlli di sicurezza e analisi. A base di Google Drive e sensori di movimento.
Google (foto: Wired.it)
La criminalitร si evolve, a volte usando lโastuzia, a volte la tecnologia, a volte entrambe. Non รจ dunque strano che un paio delle piรน recenti minacce informatiche basino il loro funzionamento su un trucchetto tecnico e uno piรน psicologico.ย Al centro, perรฒ, lo stesso protagonista: Google.
Il sistema C&C
Forse saprete che una delle piรน ricorrenti e temibili minacce informatiche รจ ilย trojan, vale a dire un software malevolo che ha la capacitร di prendere possesso del dispositivo della vittima che infetta. Di fatto, ilย trojanย agisce come una sorta di passe-partout che, una volta attivato,ย regala lโaccesso e il controllo del computer, o dello smartphone, al criminale informatico di turno.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Il malvivente, se le cose vanno come spera, si ritrova di fronte a una sorta diย centralina con cui puรฒ gestire buona parte delle funzionidellโapparecchio. Per questo motivo, la tecnica di controllo รจ definitaย Command & control, o C&C per gli amici. Significa che il criminale, da remoto, ha potere di vita e di morte sui dati della vittima.
Ecco perchรฉ ilย trojanย รจ il software dโelezione di un attacco Apt (Advanced persistence threat), cioรจ un attacco informatico che viene perpetrato per unย periodo di tempo piuttosto lungo. Il criminale, o di solito il gruppo criminale, installa un trojan nei sistemi desiderati, e da quel momento puรฒentrare e uscire come si trattasse di un suo computer,ย per giorni, settimane, a volte anche mesi.
Effettuare un attacco Apt non รจ cosa semplice e richiede molte risorse, tanto che i gruppi criminali che ne sono responsabili sono pochi e ciascuno si distingue con un proprio nome.
No, le star di YouTube non ti hanno scritto: quellโemail รจ una truffa
Uno dei piรน noti รจ Dark Hydrus Apt, specializzato in attacchi verso il Medio Oriente, che sfrutta abitualmente ilย trojanย RogueRobin.ย Si tratta di un malware molto furbo, che si attiva dopo che la vittimaย apre un file Excel confezionato ad hoc.
A quel punto, viene trasferito un file Txt malevolo nella cartella dei file temporanei di Windows, nel computer della vittima, e tramite questo lancia il trojan vero e proprio.
Dal Dns a Google Drive
RogueRobin รจ dotato di funzioni avanzate, come per esempio la capacitร di individuare se vieneย controllato in un ambiente sandboxย (in pratica, un ambiente isolato in cui un file sospetto viene analizzato senza possibilitร che infetti il sistema), senza considerare la capacitร di scambiare dati e comandi col criminale attraverso la tecnica del Dns Tunneling, che di fatto rende molto difficile individuare la minaccia informatica.
I ricercatori di 360 Threat intelligence center e di Palo Alto Networks hanno scoperto di recente cheย la nuova versione di RogueRobin, in alternativa al Dns Tunneling,ย รจ in grado di sfruttare niente poco di meno che Google Drive.ย Semplificando, il malware รจ in grado di caricare e scaricare file, contenenti informazioni e comandi da scambiare coi criminali, dal noto sistema cloud di Google. Il che aumenta le possibilitร di farla franca.
Col sensore รจ meglio
Se questo rappresenta un esempio di evoluzione dei malware dal punto di vista della centrale di comando, quindi lโultimo anello della catena, eccone uno che invece si rivolge al primo anello. Ci arriva dai ricercatori di Trend Micro, cheย hanno scoperto due app malevole, presenti fino a qualche giorno fa nello store di Android, capaci di sfruttare il sensore di movimento per mascherarsi. I loro nomi sono Currency Converter e BatterySaverMobi. Dopo essere state installate agevolano lโinfezione tramite ilย trojanย Anubis, specializzato in frodi bancarie.
Intermezzo promozionale ... continua la lettura dopo il box:
Ma dove sta il trucco diabolico? Dovete sapere che quando dei ricercatori analizzano le app del Google Play Store lo fanno utilizzando degli emulatori. Dei programmi, cioรจ, che emulano il funzionamento di uno smartphone allโinterno del computer di analisi. Va da sรฉ che, trattandosi a tutti gli effetti di un computer e non di un vero smartphone, questo non utilizza alcun sensore di movimento. I ricercatori studiano con calma ogni app e, appena vedono un comportamento sospetto nellโemulatore, la segnalano, ottenendone la rimozione.
Queste due app, perรฒ, fanno un giochetto sporco:ย attivano le funzioni malevole solo se ricevono dati dal sensore di movimento.ย In questo modo, possono distinguere se si sono state installare in un vero smartphone o in un computer dโanalisi. Va da sรฉ che, da oggi, dopo la segnalazione di Trend Micro, ai ricercatori basterร inviare alle varie app che studiano dei dati di movimento farlocchi, per accertarsi che alcune di loro non sfruttino questo trucco.
Resta il fatto che, qualunque sia la tecnologia messa a punto per proteggerci anche da minacce di questo tipo, tutte, o quasi, si basano sempre sullaย partecipazione inconsapevole della vittima. Un clic su un file Excel, lโinstallazione di unโapp, il cedere alle lusinghe di una o uno spasimante finto. Occhio.
Come evolvono i malware per aggirare gli antivirus, sfruttando Google
