Android, scoperta falla 'invincibile' (ma non troppo): ecco cosa sappiamo e come evitarla

Android, scoperta falla 'invincibile' (ma non troppo): ecco cosa sappiamo e come evitarla

Una falla definita invincibile dagli esperti, ma che in realtà con un po' di perizia può essere estirpata dagli utenti finali. Non basta, però, un factory reset

di pubblicata il , alle 16:41 nel canale Telefonia
Android
 

Ci sono diversi metodi per sbarazzarsi di un malware su uno smartphone, così su come su qualsiasi altro sistema. Se nessuno funziona si può provare con un "factory reset", o format riparatore che dir si voglia. Alcuni mesi fa è stato scoperto su Android un malware che sopravvive anche al ripristino di fabbrica, tuttavia sono rimasti dubbi sul suo funzionamento fino ad oggi.

Stiamo parlando di xHelper, comparso sui primi dispositivi Android all'inizio di quest'anno con infezioni concentrate principalmente in Russia. Il malware non è stato diffuso attraverso Google Play Store o altri store di app ritenuti affidabili, che avrebbero subito rivelato l'app come sospetta e ne avrebbero inibito la pubblicazione. Il funzionamento di xHelper è comunque molto "furbo": una volta installato su un dispositivo, il malware tenta di ottenere l'accesso root per avere la possibilità di modificare parti sensibili del sistema operativo impostando una backdoor attraverso cui installare codice di ogni tipo.

xHelper, il malware "invincibile"

Qualche mese fa l'azienda di sicurezza Malwarebytes aveva confermato che xHelper potrebbe essere capace di sopravvivere anche a un factory reset grazie a un file non rilevabile all'interno di una cartella nascosta. Il file reinfetterebbe il dispositivo dopo ogni ripristino, ma i ricercatori non erano in grado di capire come facesse a ricomparire per eseguire il codice malevolo. In base alle indagini pubblicate da Igor Golovin di Kaspersky Lab e riportate da Ars Technica, adesso sappiamo che xHelper rimane latente sullo smartphone grazie a un trojan chiamato Triada.

Triada, scrive la fonte, ottiene i permessi di root dal dispositivo e li usa per installare una serie di file malevoli all'interno della partizione di sistema, che non viene modificata durante i ripristini canonici. Ci riesce rimontando la partizione di sistema in modalità "write", per poi darle un attributo "immutable" in modo da impedirne una futura modifica o cancellazione, anche dagli utenti con i privilegi più elevati. L'attributo può comunque essere rimosso attraverso il comando chattr. Un altro file effettua invece chiamate verso i file della cartella /system/xbin, in modo da eseguire il malware ogni volta che il dispositivo viene riavviato.

Proprio per la natura articolata del malware Golovin definisce l'infezione come "unkillable", invincibile o più letteralmente che non può essere uccisa. Il tutto per un'infezione che può insediarsi sul dispositivo in maniera piuttosto semplice, eseguendo un'app malevola opportunamente modificata. In realtà qualche buona notizia c'è e, sebbene il malware sia invincibile con i mezzi tradizionali, può essere sradicato dal dispositivo Android infetto con una procedura certosina.

Come è possibile rimuovere xHelper su uno smartphone infetto

È possibile ad esempio rimuoverlo se si ha l'accesso alla Recovery Mode dello smartphone, e da lì si possono modificare i file della libreria coinvolta, montare la partizione di sistema ed eliminare le cartelle utilizzate dal malware. Oppure, in maniera più semplice, si può installare sul dispositivo un'immagine ufficiale che cancella tutte le vecchie cartelle di sistema.

C'è da preoccuparsi? A nostro avviso no, soprattutto per chi ha un dispositivo aggiornato con le ultime versioni di Android. L'unico modo per essere infettati è installare un APK contraffatto proveniente da fonti terze la cui affidabilità non è comprovata. Inoltre, le funzionalità di rooting di xHelper e Triada funzionano solo su Android 6.0 Marshmallow e Android 7.0 Nougat. Le versioni più recenti di Android non consentono a xHelper di apportare modifiche al sistema operativo e installare Triada, risultando così del tutto invulnerabili all'attacco specifico di questo malware.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
pabloski21 Aprile 2020, 17:14 #1
Ehm non è una falla. E' un meccanismo di persistenza. E del resto è pure parecchio banale. Rimonta la partizione system in r/w. Aggiunge uno script bash per lanciare il dropper del malware al boot. Patcha libc.so per evitare che altri programmi ( compresi gli AV ) possano rimontare la partizione system in r/w.

L'attributo immutable è aggiunto al file forever.sh, che è lo script che parte al boot, e non alla partizione system.

Ah dimenticavo, bisogna avere il root sul telefono, sennò non puoi nemmeno iniziare, rimontando la partizione system in r/w.

Detto questo, un reflash del firmware elimina ogni cosa. Personalmente ho sempre preferito riflashare i miei dispositivi, piuttosto che eseguire il parziale "factory reset". Non ci piove che quest'ultimo sia più userfriendly e alla portata di tutti. La recovery ovviamente consente di fare proprio questo, oltre a riparare immagini system compromesse.
essegi21 Aprile 2020, 20:13 #2
grazie, chiaro e sintetico

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^