opfake

Opfake: il primo malware polimorfico su Android

Nicola Randone

Ebbene si, il dettaglio pubblicato nelle pagine del Security Response di Symantec pare non dare adito a dubbi: nel mondo Android è ufficialmente apparso il primo malware dalle caratteristiche meno ingenue dei suoi predecessori.

Android.Opfake.B è un cavallo di troia dal comportamento inquietante, sembra infatti che sia stato scritto con un algoritmo in grado di mutare forma nel corso del tempo per così eludere qualsiasi rilevamento da parte degli antivirus.

Il virus si nasconde all’interno di quattro .apk (queste almeno sono quelle rilevate da Symantec fino ad ora): BatteryOptimizer.apk, icq.apk, OperaMini65.apk, SkypeMobile.apk, naturalmente nessun rischio per chi scarica solo dal Market; il nome (reale) del pacchetto è invece com.load.wap. Sostanzialmente, installando una qualsiasi delle applicazioni che contengono il trojan, installiamo anche il medesimo che, com’è usuale per tutte le applicazioni, chiederà conferma sui seguenti permessi:

  • Access information about networks
  • Check the phone’s current state
  • Open network connections
  • Send and receive SMS messages
  • Write to external storage devices
  • Install and delete packages
  • Read contact data

Nel momento in cui viene eseguito, il trojan apre una schermata con dei testi in russo (la questione dovrebbe far nascere già dei forti sospetti sulla bontà dell’applicazione), una volta confermata la schermata iniziale vengono mostrate un elenco di applicazioni installabili tra giochi e software. Questa può essere considerata la facciata del trojan che, al di là dell’indubbia bontà relativa alle funzionalità, fa ben altro che proporre all’utente delle applicazioni da scaricare con facilità tramite un semplice clic.

La precedente versione (individuabile con il suffisso finale A) non ha destato particolari preoccupazioni mentre questa variante B, scoperta il mese scorso, sulla base dei permessi richiesti in fase di installazione potrebbe essere in grado di aprire una vera e propria backdoor sui nostri smartphone in attesa di ricevere comandi via sms per avviare in automatico alcune delle seguenti azioni:

  • Inviare informazioni sul device come l’IMEI e l’IMSI
  • Rimuovere eventuali filtri SMS ed inviare messaggi anche a numeri a pagamento
  • Inviare dettagli della rubrica
  • Riconfigurare la URL che comunica col server “maligno”
  •  Scaricare file .apk ed installarli sulla SD card

Potenzialmente quindi si tratta di una minaccia sufficientemente seria se non fosse per il fatto che, a differenza degli analoghi in ambiente desktop, questo virus può essere rimosso semplicemente rimuovendo il pacchetto dal gestore applicazioni di Android.

Symantec consiglia naturalmente di installare il suo Norton Mobile Security per rimuovere efficacemente la minaccia.

Per una questione di “politically correct” ci asteniamo da ulteriori riflessioni sul “sappiamo tutti cosa” e ci auguriamo che siano i lettori di AW a fare le proprie considerazioni nella sezione commenti.