Malware (trojan) e configurazione hotspot

[filipsnew]

Salve, è possibile che un trojan per Android cambi il nome della rete (inizialmente = nome dispositivo) e password per hotspot?

[frank8085]

credo di sì

[filipsnew]

Quote:

Originariamente inviato da frank8085

credo di sì

Ti ringrazio. In effetti mi si era scaricato il trojan Hiddadx e temo si fosse anche attivato per via di una selezione effettuata sull'elemento allo scopo di inviarlo a VirusTotal.

Non capisco però - ma mi piacerebbe - quali vantaggi potrebbe trarre da queste 2 modifiche. Il nome, per esempio, anziché quello inserito = marca dispositivo, era diventato una specie di percorso abbreviato col simbolo % e il numero modello/serie, che per Huawei è EVA ecc.

O forse le 2 modifiche sono solo un effetto collaterale di manomissioni più profonde sul sistema?

[frank8085]

di sicuro è un attacco preliminare che serve più che altro ad ottenere info utili per attacchi più mirati non necessariamente al cellulare, credo che altre info oltre quelli che pensi siano state rubate. ora purtroppo va di moda questo https://www.zdnet.com/article/new-si...ast-two-years/


e comunque i cellulari sono vittime sempre più di frequente perchè poterli controllare può scardinare le autenticazioni a due fattori, se fossi in te toglierei subito la sim dal cellulare e disattiverei l'autenticazione a due fattori tramite SMS in ogni account sensibile collegato a quel numero (specialmente quelli bancari, che sono il target finale).

[filipsnew]

Quote:

Originariamente inviato da frank8085

di sicuro è un attacco preliminare che serve più che altro ad ottenere info utili per attacchi più mirati non necessariamente al cellulare, credo che altre info oltre quelli che pensi siano state rubate. ora purtroppo va di moda questo https://www.zdnet.com/article/new-si...ast-two-years/


e comunque i cellulari sono vittime sempre più di frequente perchè poterli controllare può scardinare le autenticazioni a due fattori, se fossi in te toglierei subito la sim dal cellulare e disattiverei l'autenticazione a due fattori tramite SMS in ogni account sensibile collegato a quel numero (specialmente quelli bancari, che sono il target finale).

Quindi il trojan si sarebbe attivato (le modifiche suddette sono concomitanti al trojan), preliminare rastrellamento di info per trarre profitti illeciti. Ho letto l'articolo e non saprei dire se si tratti o meno di quel tipo di attacco alla sim. Se ho capito esso sfrutterebbe un browser obsoleto ma residuo in molte sim inviando un codice binario. Se fosse di questo tipo, il trojan rilevato non dovrebbe essere l'artefice diretto della manomissione della sim, giusto? Quel trojan è classificato come progettato per collegarsi a una shell remota. Forse manda a essa i dati necessari per l'invio dell'SMS che va poi a intaccare la sim. Vorrei capire:

Dovrei quindi gettare questa sim e chiedere un numero nuovo all'operatore?

Con 'altre info' cosa intendi precisamente? IMEI? Numero telefono? File? Password di account mail, Google ecc? Praticamente sul dispositivo ho ogni dato sensibile volutamente sballato e comunque anonimo.. per cui eventuali documenti carpiti non sarebbero poi un grosso problema (dubito che possa interessare ricevere miei file in background, e comunque il traffico dati non mi sembra appesantito) e dal giorno dell'evento non ho effettuato nessuna operazione compromettente. Se il problema fosse solo per account e-mail, Facebook, beh, poco male mi verrebbe da dire..

Perché il trojan avrebbe agito in un modo così stupido cambiando password e nome hotspot? In genere non si dovrebbe lasciar traccia per agire indisturbati..

Un reset totale Android non lascia residui? (Cioè esistono casistiche in cui il malware intervenga sul settore di memoria dedicato al ripristino in modo da non essere azzerato e apparire 'rigenerato' dopo il reset?)

Perché l'AV non ha impedito la attivazione (pur avendomi segnalato il file)? (All'invio il file era sparito, presumo autocancellato una volta eseguito il suo compito)

Perché ogni AV ora mi segnala che il sistema è a posto?

Se dopo reset metto file ora presenti nella memoria interna, posso avere la certezza che i file siano puliti e non infetti?

[frank8085]

se vuoi essere sicuro devi formattare, sì la SIM è sicura una volta che la metti nel cellulare ripulito, la formattazione la fai con un hard reset da boot
io sono abituato con il pc, quando voglio formattare effettivamente uso un tool che ...almeno nella formattazione completa azzera ogni settore del disco... ovviamente questo non avviene con l'hard reset, l'hard reset rilancia l'immagine di installazione del S.O la quale va a sovrascrivere la partizione dove prima c'era l'S.O (data), se l'attaccante non ha avuto accesso root è impossibile che abbia toccato altre partizioni come la system o la recovery, effettivamente solo così sarebbe possibile per lui reinstallare il trojan.

non sappiamo cosa sia stato rubato purtroppo...
io dopo la formattazione rilancerei l'antivirus, non so quale usi ma spero sia serio (ci sono molti antivirus che non servono a nulla veramente) e se non vede nulla rimetti la SIM e via...
un altra cosa interessante da fare quando hai formattato il cellulare è vedere la routing table per vedere se in condizione idle ci sono connessioni verso l'esterno sospette, se vedi che effettivamente non c'è traffico sospetto puoi vivere tranquillo, specialmente dopo che l'antivirus conferma che non c'è nulla

[filipsnew]

Quote:

Originariamente inviato da frank8085

se vuoi essere sicuro devi formattare, sì la SIM è sicura una volta che la metti nel cellulare ripulito, la formattazione la fai con un hard reset da boot
io sono abituato con il pc, quando voglio formattare effettivamente uso un tool che ...almeno nella formattazione completa azzera ogni settore del disco

Per quello che scrivi direi che sei esperto, quindi è probabile che utilizzi Linux: alludi al tool/comando

Codice:

dd

che in effetti distrugge tutto (una volta lo utilizzai su un vecchio hdd

Quote:

se l'attaccante non ha avuto accesso root è impossibile che abbia toccato altre partizioni come la system o la recovery, effettivamente solo così sarebbe possibile per lui reinstallare il trojan.

Infatti non a caso ho chiesto questo: tempo fa su un vecchio Sony rootato (soft root) tramite Kingroot non ci fu verso di liberarmi del software che era diventato app di sistema; gli autori avevano specificato questa eventualità per alcuni brand, prospettando un metodo per risolvere, ma io riuscii a sbarazzarmene solo con un flash del firmware.

Cambiare password e nome hotspot non credo esiga il root; penso che rientri nella autorizzazione Android 'modifica impostazioni sistema' ottenibile dalle comuni app dello store.

Allora ti chiedo questo: fermo restando che sul P9 Huawei io non ho mai effettuato root e risulta disabilitata la funzione Android 'installa da fonti sconosciute', posso avere certezza che il malware non sia entrato con permessi elevati? Cioè non esistano casi noti in cui pur in assenza di root il virus ottenga massimo potere, ben oltre quello delle normali app; dopotutto, sorvolando il download automatico la cui possibilità a mio parere è qualcosa di folle (ho visto che è operazione realizzabile per es via php, ma a mio avviso dovrebbe essere inibito codice che consenta simili pratiche), esso è pur riuscito ad installarsi proditoriamente, fare svariate operazioni..

Quote:

non sappiamo cosa sia stato rubato purtroppo...
io dopo la formattazione rilancerei l'antivirus, non so quale usi ma spero sia serio (ci sono molti antivirus che non servono a nulla veramente) e se non vede nulla rimetti la SIM e via...

Il poter rimettere la SIM 'purificata' dopo il reset è un'ottima notizia. Per gli AV penso che non vi siano problemi: uso una licenza Eset - mi aveva rilevato istantaneamente la minaccia, ma io purtroppo l'ho poi selezionata e inviata...-, alla quale ho ora aggiunto DrWeb e Kaspersky (versione base senza controllo in tempo reale). Con questi ho effettuato ulteriori ripetute scansioni approfondite del sistema e della SD esterna.

Quote:

un altra cosa interessante da fare quando hai formattato il cellulare è vedere la routing table per vedere se in condizione idle ci sono connessioni verso l'esterno sospette, se vedi che effettivamente non c'è traffico sospetto puoi vivere tranquillo, specialmente dopo che l'antivirus conferma che non c'è nulla

Questo è molto interessante. Mi stai dicendo che dovrei controllare con telefono inattivo e connessione (dati / Wi-Fi) attiva eventuale traffico? Dovrei quindi poi leggere il rendiconto presente in Impostazioni>Dati mobili>Valutazione uso traffico (per dati mobili e per Wi-Fi) presente nelle Impostazioni dello smartphone? Non è che un malware può anche essere progettato per eludere le letture di consumi di questo tipo da parte del sistema?

Non so come ringraziarti.

[frank8085]

Quote:

Originariamente inviato da filipsnew

Cambiare password e nome hotspot non credo esiga il root; penso che rientri nella autorizzazione Android 'modifica impostazioni sistema' ottenibile dalle comuni app dello store.

ovvio, mi chiedevo se eri a conoscenza di altro che poteva indicare un accesso root

Quote:

Originariamente inviato da filipsnew

Allora ti chiedo questo: fermo restando che sul P9 Huawei io non ho mai effettuato root e risulta disabilitata la funzione Android 'installa da fonti sconosciute', posso avere certezza che il malware non sia entrato con permessi elevati? Cioè non esistano casi noti in cui pur in assenza di root il virus ottenga massimo potere, ben oltre quello delle normali app; dopotutto, sorvolando il download automatico la cui possibilità a mio parere è qualcosa di folle (ho visto che è operazione realizzabile per es via php, ma a mio avviso dovrebbe essere inibito codice che consenta simili pratiche), esso è pur riuscito ad installarsi proditoriamente, fare svariate operazioni..

anche se ce l'avessi in mano non ho idee su come verificare se ha accesso root, anche se potessi vedere l'elenco dei processi (comando top o qualcosa del genere)
è probabile che abbia un nome mascherato da processo di sistema che sta quasi sempre in ibernazione e che usi pochissima memoria. visto che potresti trovarti davanti un elenco di 100/200 processi ...

Quote:

Originariamente inviato da filipsnew

Questo è molto interessante. Mi stai dicendo che dovrei controllare con telefono inattivo e connessione (dati / Wi-Fi) attiva eventuale traffico? Dovrei quindi poi leggere il rendiconto presente in Impostazioni>Dati mobili>Valutazione uso traffico (per dati mobili e per Wi-Fi) presente nelle Impostazioni dello smartphone? Non è che un malware può anche essere progettato per eludere le letture di consumi di questo tipo da parte del sistema?

necessariamente se vuole comunicare con il server "pirata" apparirà in elenco una riga con l'IP di destinazione, la porta di ingresso e uscita e il protocollo (TCP/UDP) e lo stato della sessione... (da pc almeno vedo questo!)
ci sono app che permettono di vedere la tabella forse non così dettagliata ma... (app di cui non mi viene in mente il nome), suppongo che lancino una sorta di equivalente di comando netstat (se non proprio lui)

nonostante sia possibile che il trojan sia controllato da remoto e che sia servito da backdoor per furti dati è anche possibile che non tenti più di collegarsi con il server pirata perchè magari l'attaccante si è già convinto di averti svuotato il cellulare quindi per evitare di farti insospettire ulteriormente "ha tagliato i ponti"


vai tranquillo, formatta e sei a posto al 95%+