|
|
|
|
Strumenti |
10-09-2019, 18:05 | #1 |
Member
Iscritto dal: Nov 2017
Messaggi: 39
|
Malware (trojan) e configurazione hotspot
Salve, è possibile che un trojan per Android cambi il nome della rete (inizialmente = nome dispositivo) e password per hotspot?
|
13-09-2019, 11:42 | #2 |
Senior Member
Iscritto dal: Nov 2013
Città: Wien, Österreich-Ungarn
Messaggi: 890
|
credo di sì
__________________
constantly changing rig... |
13-09-2019, 19:41 | #3 |
Member
Iscritto dal: Nov 2017
Messaggi: 39
|
Ti ringrazio. In effetti mi si era scaricato il trojan Hiddadx e temo si fosse anche attivato per via di una selezione effettuata sull'elemento allo scopo di inviarlo a VirusTotal.
Non capisco però - ma mi piacerebbe - quali vantaggi potrebbe trarre da queste 2 modifiche. Il nome, per esempio, anziché quello inserito = marca dispositivo, era diventato una specie di percorso abbreviato col simbolo % e il numero modello/serie, che per Huawei è EVA ecc. O forse le 2 modifiche sono solo un effetto collaterale di manomissioni più profonde sul sistema? |
14-09-2019, 08:51 | #4 |
Senior Member
Iscritto dal: Nov 2013
Città: Wien, Österreich-Ungarn
Messaggi: 890
|
di sicuro è un attacco preliminare che serve più che altro ad ottenere info utili per attacchi più mirati non necessariamente al cellulare, credo che altre info oltre quelli che pensi siano state rubate. ora purtroppo va di moda questo https://www.zdnet.com/article/new-si...ast-two-years/
e comunque i cellulari sono vittime sempre più di frequente perchè poterli controllare può scardinare le autenticazioni a due fattori, se fossi in te toglierei subito la sim dal cellulare e disattiverei l'autenticazione a due fattori tramite SMS in ogni account sensibile collegato a quel numero (specialmente quelli bancari, che sono il target finale).
__________________
constantly changing rig... |
15-09-2019, 07:57 | #5 | |
Member
Iscritto dal: Nov 2017
Messaggi: 39
|
Quote:
Dovrei quindi gettare questa sim e chiedere un numero nuovo all'operatore? Con 'altre info' cosa intendi precisamente? IMEI? Numero telefono? File? Password di account mail, Google ecc? Praticamente sul dispositivo ho ogni dato sensibile volutamente sballato e comunque anonimo.. per cui eventuali documenti carpiti non sarebbero poi un grosso problema (dubito che possa interessare ricevere miei file in background, e comunque il traffico dati non mi sembra appesantito) e dal giorno dell'evento non ho effettuato nessuna operazione compromettente. Se il problema fosse solo per account e-mail, Facebook, beh, poco male mi verrebbe da dire.. Perché il trojan avrebbe agito in un modo così stupido cambiando password e nome hotspot? In genere non si dovrebbe lasciar traccia per agire indisturbati.. Un reset totale Android non lascia residui? (Cioè esistono casistiche in cui il malware intervenga sul settore di memoria dedicato al ripristino in modo da non essere azzerato e apparire 'rigenerato' dopo il reset?) Perché l'AV non ha impedito la attivazione (pur avendomi segnalato il file)? (All'invio il file era sparito, presumo autocancellato una volta eseguito il suo compito) Perché ogni AV ora mi segnala che il sistema è a posto? Se dopo reset metto file ora presenti nella memoria interna, posso avere la certezza che i file siano puliti e non infetti? Ultima modifica di filipsnew : 15-09-2019 alle 08:12. |
|
15-09-2019, 17:09 | #6 |
Senior Member
Iscritto dal: Nov 2013
Città: Wien, Österreich-Ungarn
Messaggi: 890
|
se vuoi essere sicuro devi formattare, sì la SIM è sicura una volta che la metti nel cellulare ripulito, la formattazione la fai con un hard reset da boot
io sono abituato con il pc, quando voglio formattare effettivamente uso un tool che ...almeno nella formattazione completa azzera ogni settore del disco... ovviamente questo non avviene con l'hard reset, l'hard reset rilancia l'immagine di installazione del S.O la quale va a sovrascrivere la partizione dove prima c'era l'S.O (data), se l'attaccante non ha avuto accesso root è impossibile che abbia toccato altre partizioni come la system o la recovery, effettivamente solo così sarebbe possibile per lui reinstallare il trojan. non sappiamo cosa sia stato rubato purtroppo... io dopo la formattazione rilancerei l'antivirus, non so quale usi ma spero sia serio (ci sono molti antivirus che non servono a nulla veramente) e se non vede nulla rimetti la SIM e via... un altra cosa interessante da fare quando hai formattato il cellulare è vedere la routing table per vedere se in condizione idle ci sono connessioni verso l'esterno sospette, se vedi che effettivamente non c'è traffico sospetto puoi vivere tranquillo, specialmente dopo che l'antivirus conferma che non c'è nulla
__________________
constantly changing rig... Ultima modifica di frank8085 : 15-09-2019 alle 17:13. |
16-09-2019, 23:59 | #7 | ||||
Member
Iscritto dal: Nov 2017
Messaggi: 39
|
Quote:
Codice:
dd Quote:
Cambiare password e nome hotspot non credo esiga il root; penso che rientri nella autorizzazione Android 'modifica impostazioni sistema' ottenibile dalle comuni app dello store. Allora ti chiedo questo: fermo restando che sul P9 Huawei io non ho mai effettuato root e risulta disabilitata la funzione Android 'installa da fonti sconosciute', posso avere certezza che il malware non sia entrato con permessi elevati? Cioè non esistano casi noti in cui pur in assenza di root il virus ottenga massimo potere, ben oltre quello delle normali app; dopotutto, sorvolando il download automatico la cui possibilità a mio parere è qualcosa di folle (ho visto che è operazione realizzabile per es via php, ma a mio avviso dovrebbe essere inibito codice che consenta simili pratiche), esso è pur riuscito ad installarsi proditoriamente, fare svariate operazioni.. Quote:
Quote:
Non so come ringraziarti. Ultima modifica di filipsnew : 17-09-2019 alle 00:11. |
||||
18-09-2019, 17:03 | #8 | |||
Senior Member
Iscritto dal: Nov 2013
Città: Wien, Österreich-Ungarn
Messaggi: 890
|
Quote:
Quote:
è probabile che abbia un nome mascherato da processo di sistema che sta quasi sempre in ibernazione e che usi pochissima memoria. visto che potresti trovarti davanti un elenco di 100/200 processi ... Quote:
ci sono app che permettono di vedere la tabella forse non così dettagliata ma... (app di cui non mi viene in mente il nome), suppongo che lancino una sorta di equivalente di comando netstat (se non proprio lui) nonostante sia possibile che il trojan sia controllato da remoto e che sia servito da backdoor per furti dati è anche possibile che non tenti più di collegarsi con il server pirata perchè magari l'attaccante si è già convinto di averti svuotato il cellulare quindi per evitare di farti insospettire ulteriormente "ha tagliato i ponti" vai tranquillo, formatta e sei a posto al 95%+
__________________
constantly changing rig... Ultima modifica di frank8085 : 18-09-2019 alle 17:17. |
|||
Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 00:19.