NotCompatible trojan per terminali Android: attenzione alle fonti di installazione per le App

NotCompatible trojan per terminali Android: attenzione alle fonti di installazione per le App

Si chiama NotCompatible ed è un nuovo troajn dedicato ai soli dispositivi Android che si installa in modo più o meno automatico accedendo a URL compromessi

di Fabio Boneschi pubblicata il , alle 16:31 nel canale Sicurezza
Android
 

C'è una nuova potenziale minaccia per gli utenti Android, infatti stando a quanto riportato in questo post da parte di  Lookout sarebbero stati individuati almeno una dozzina di domini internet utilizzati per distribuire malware con l'ormai classico metodo drive-by download.

Il nuovo malware è stato denominato NotCompatible e per distribuirsi utilizza questo ssemplice schema: da terminale Android accedendo a particolari URL viene avviato il download del codice malevolo, successivamente viene chiesta conferma all'utente per procedere all'installazione. Sarebbe sempre raccomandable utilizzare app e software proveniente dal marketplace ufficiale Google Play, e già questa precauzione metterebbe al riparo da NotCompatible.

A quanto appena scritto va anche aggiunto che l'installazione di codice è in questo caso specifico vincolata a una scelta fatta dall'utente, quindi c'è anche una consapevolezza dell'azione. Solitamente minacce che utilizzano il drive-by download fanno riferimento a siti web compromessi, ma nel caso specifico a rendere il tutto degno di attenzione è lo specifico target scelto: i terminali Android. Infatti, accedendo ai medesimi URL con altri sistemi operativi viene visualizzato dal browser un banale messaggio di errore.

Probabilmente l'ampia diffusione dei terminali Android costituirà in futuro un nuovo target per l'industria del malware. Già ora sono disponibili svariate soluzioni di sicurezza dedicate a questi terminale, anche se prima di tutto sono alcune scelte e azioni dell'utente che andrebbero evitate. Nel caso di NotCompatible ad esempio è sufficiente non prevedere il download di codice da fonti alternative a quelle ufficiali, e se anche lo si volesse fare in specifiche situazioni è comunque importante prestare attenzione a cosa si accetta di installare e in quale momento.

Per il momento non è stata individuata una payload pericolosa relativa a questo malware: il codice malevolo pare comportarsi come un proxy utilizzabile da terzi per compiere eventuali altre azioni online. La presenza però di un command and control server all' URL notcompatibleapp.eu fa supporre che da remoto potranno essere anche gestiti update del codice malevolo, quindi l'attuale payload potrebbe presto essere modificata.

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
shodan03 Maggio 2012, 20:10 #1
Che dire...
sicuramente, con l'evolversi dei telefoni in veri e propri computer, già da qualche anno il problema virus è diventato abbastanza reale (e, a mio avviso, non potrebbe essere altrimenti).

Certo che dover installare l'antivirus anche sul telefono ha un che di angoscioso

Scherzi a parte, è interessante notare come, ancora una volta, ad essere più duramente colpita è generalmente la piattaforma con più alta diffusione nel mercato.

Ciao.
WarDuck03 Maggio 2012, 20:14 #2
Questo non fa nient'altro che rafforzare l'ipotesi tutt'altro che campata in aria che l'interesse nell'attaccare un sistema è proporzionale alla sua diffusione.

E la cosa ha ancora più rilevanza se questo sistema è in parte open source ed è Linux-based, tipicamente un sistema che viene considerato sicuro a prescindere (dimostrando l'ignoranza che molti hanno sul fronte sicurezza).
M4R1|<04 Maggio 2012, 21:46 #3
Originariamente inviato da: WarDuck
Questo non fa nient'altro che rafforzare l'ipotesi tutt'altro che campata in aria che l'interesse nell'attaccare un sistema è proporzionale alla sua diffusione.

E la cosa ha ancora più rilevanza se questo sistema è in parte open source ed è Linux-based, tipicamente un sistema che viene considerato sicuro a prescindere (dimostrando l'ignoranza che molti hanno sul fronte sicurezza).


Linux-based come affermazione è un po' generica. Android non è una distribuzione GNU/Linux tipica. L'unica cosa che ha di Linux è il Kernel.
Linux è generalmente un sistema sicuro, ma se gira su distribuzioni con bug o con una cattiva progettazione, c'è poco da fare. E' molto importante anche il livello di sicurezza che l'utilizzatore implementa o può implementare.
Quello che, in aggiunta, rende davvero sicuro Linux sono moduli come SELinux, sviluppato dall'NSA, oppure l'Apparmor. Questi permettono di fare whitelist, come un firewall ma a livello applicativo.

Oggi, 2012, affermare che Linux è un sistema poco sicuro equivale a dire che Winzoz XP è un OS sicuro oppure che UNIX non sia stabile o ancora che Windows 7 sia come tutti i precedenti Winzoz. Sono tutte falsità (il dispregiativo in Windows, quando usato ha un senso).
shodan05 Maggio 2012, 09:53 #4
Premessa: anche io reputo un'installazione di default di Linux decisamente più sicura di una con WindowsXP (se non altro per l'utente amministratore, che su XP è di default).

Originariamente inviato da: M4R1|<
Linux-based come affermazione è un po' generica. Android non è una distribuzione GNU/Linux tipica. L'unica cosa che ha di Linux è il Kernel.

Se parliamo di kernel, quello di NT è estremamente sicuro e modulare.
Linux è generalmente un sistema sicuro, ma se gira su distribuzioni con bug o con una cattiva progettazione, c'è poco da fare. E' molto importante anche il livello di sicurezza che l'utilizzatore implementa o può implementare.

Qui però stai parlando di Linux come distribuzione. E' questa che va paragonata a Windows, che puoi vedere come una "distribuzione" di NT.

Quello che, in aggiunta, rende davvero sicuro Linux sono moduli come SELinux, sviluppato dall'NSA, oppure l'Apparmor. Questi permettono di fare whitelist, come un firewall ma a livello applicativo.

Giusto, il paradigma MAC aggiunge un significativo livello di protezione, migliorando quello, già ottimo, di base. Se non vado errato, i MIC di Windows Vista/7 forniscono funzionalità simili.

Oggi, 2012, affermare che Linux è un sistema poco sicuro equivale a dire che Winzoz XP è un OS sicuro

In questa affermazione, Linux è inteso come kernel o distribuzione? Nel primo caso, il paragone con Windows XP non ha senso (dovresti paragonarlo al kernel NT), nel secondo, hai ammesso tu stesso che ci sono "distribuzioni" (come Android) poco sicure. Inoltre, Windows XP usato con permessi base (non admin) _è_ un sistema sicuro. Il problema è che usare i permessi base sotto XP è piuttosto scomodo.

oppure che UNIX non sia stabile o ancora che Windows 7 sia come tutti i precedenti Winzoz. Sono tutte falsità (il dispregiativo in Windows, quando usato ha un senso).


Vero.
simonk05 Maggio 2012, 12:10 #5
@M47AMP
Il mito che linux ma anche unix non sia infettabile

nasce dall'ignorare la storia dell'informatica. I primi malware sono nati su unix, i virus sono venuti dopo, con il dos e la sua diffusione.

Quoto.
Un sistema sicuro è un sistema chiuso. Linux non ha virus perché non lo usa praticamente nessuno e quindi gli hacker e cracker non sono interessati al 2% dei consumatori PC. Mentre Windows viene usato dal 90% (in media) dei consumatori PC... se proviamo ad invertire la cosa, Windows diventa Linux e Linux diventa Windows... in tutti i sensi, sono entrambi OS (buoni anche), solo che uno è più fortunato (e sfortunato) dell'altro.

Lo ha dimostrato Android, che ora è il sistema operativo mobile più diffuso mentre Windows Phone 7 è quello meno diffuso, dove il primo necessita di antivirus ed è a rischio infezione, mentre il secondo no.
Sono contento sia successa questa cosa, così finalmente chi dice Linux è sicuro e Windows no, può finalmente capire che è solo questione di INTERESSE. SEMPRE.
polteus05 Maggio 2012, 13:55 #6
Dall'articolo: "successivamente viene chiesta conferma all'utente per procedere all'installazione". Se l'utente da l'ok all'installazione di software che non sa cosa fa ne da dove o da chi provenga... allora forse il problema è lui e non il cellulare.
M4R1|<05 Maggio 2012, 14:35 #7
Originariamente inviato da: shodan
Premessa: anche io reputo un'installazione di default di Linux decisamente più sicura di una con WindowsXP (se non altro per l'utente amministratore, che su XP è di default).

Se parliamo di kernel, quello di NT è estremamente sicuro e modulare.

Qui però stai parlando di Linux come distribuzione. E' questa che va paragonata a Windows, che puoi vedere come una "distribuzione" di NT.


Ovviamente uno dei principali problemi della sicurezza sono gli accessi che si possiedono. Se l'utenza di default fosse sotto le varie distribuzioni Linux root, vi sarebbe enormi problemi. Su XP, essendo l'utente appena creato, di default, nel gruppo administrators, ha grosse limitazioni in fatto di sicurezza.



Giusto, il paradigma MAC aggiunge un significativo livello di protezione, migliorando quello, già ottimo, di base. Se non vado errato, i MIC di Windows Vista/7 forniscono funzionalità simili.


Se non sbaglio, si.
Microsoft ha fatto un'ernome lavoro dal Kernel NT usato fino a Windows Server 2003R2 a Windows Vista.


In questa affermazione, Linux è inteso come kernel o distribuzione? Nel primo caso, il paragone con Windows XP non ha senso (dovresti paragonarlo al kernel NT), nel secondo, hai ammesso tu stesso che ci sono "distribuzioni" (come Android) poco sicure. Inoltre, Windows XP usato con permessi base (non admin) _è_ un sistema sicuro. Il problema è che usare i permessi base sotto XP è piuttosto scomodo.


Come distribuzione e più precisamente mi riferivo a distribuzioni per server e non a quelle consumer. Mia mancanza.

Con un po' di lavoro si possono fare dei LAMP veramente blindati se si sa "giocare" con mod_security, suhosin, SELinux, iptables e si conosce un po' il sistema e ad esempio si da un -x alla /tmp più tante altre cose.

Dove lavoro ho appena fatto i template su VMware di Ubuntu 12.04 integrando su tutti (dal template base a quello LAMP) un livello standard di sicurezza piuttosto elevato.

Vero.


eraser05 Maggio 2012, 15:08 #8
Originariamente inviato da: M4R1|<
Con un po' di lavoro si possono fare dei LAMP veramente blindati se si sa "giocare" con mod_security, suhosin, SELinux, iptables e si conosce un po' il sistema e ad esempio si da un -x alla /tmp più tante altre cose.


Così come si può blindare totalmente anche Windows, se ci si sa fare
M4R1|<05 Maggio 2012, 18:31 #9
Originariamente inviato da: eraser
Così come si può blindare totalmente anche Windows, se ci si sa fare


Assolutamente ;-)
CYRANO05 Maggio 2012, 18:49 #10
android non necessita di antivirus, basta installare le app solo dal market ufficiale.



C.ò,s.àòs.àòs.àòs.àò

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^