Obad: un nuovo e avanzato malware per Android si fa strada nei bassifondi

Il titolo è un po' provocatorio, ma senz'altro azzeccato per gli ambienti che fanno da incubatore a questo nuovo e sofisticato trojan per Android, la cui struttura è molto più simile ai virus che troviamo su Windows che non ai soliti exploit che Google cerca di combattere sui suoi droidi: è stato visto (e studiato) infatti su store che offrivano applicazioni non esattamente licenziate (o "pirata", se preferite).

Vediamo un po' più nel dettaglio il comportamento di questo parassita studiato da Kaspersky e rinominato Backdoor.AndroidOS.Obad.a: questo APK, sfruttando due vulnerabilità non ancora conosciute e un file Manifest modificato, riesce a bypassare i controlli del sistema (che dovrebbe rilevare le discrepanze nel file xml, ma fallisce e lascia che Obad venga installato - questa è la prima vulnerabilità); una volta installato correttamente, il software inizia ad agire in background e sfrutta un secondo 0 day per guadagnare l'accesso come amministratore al dispositivo: a questo punto, il malware non può più essere rimosso e non appare nella finestra dei programmi a cui sono consentiti i permessi più elevati.

A questo punto, Obad è libero di cercare una connessione ad internet e, una volta ottenuto l'accesso alla rete delle reti, può iniziare a decifrare la maggior parte del proprio codice (questa funzionalità lo rende decisamente più difficile da studiare) e iniziare ad eseguire tutta una serie di comandi sul nostro terminale:

• Invio di SMS con numero e testo, le cui risposte vengono poi immediatamente cancellate.
• Agisce come un proxy, filtrando le connessioni.
• Connessione ad uno specifico indirizzo, con conseguente download ed installazione di file.
• Colleziona ed invia ad un server remoto i dati presenti sul dispositivo infetto.
• Garantisce una shell remota a chi ha il controllo di questo virus.
• Invio di file (probabilmente vettori di infezione) a tutti i dispositivi che riesce a rilevare il sensore Bluetooth.

Tutto questo è condito dal fatto che il trojan non abbia un'interfaccia visibile e lavori solamente in background ma, fortunatamente, questo software è ancora poco diffuso e lo si trova solo negli ambienti sopra descritti; siamo quindi relativamente sicuri se ci affidiamo a store controllati come quelli di Google e di Amazon.

Prima di concludere, vogliamo proporvi uno spunto di riflessione, forse banale: non pensate anche voi che questo genere di minacce possano essere il rovescio della medaglia per chi si affida a questi portali alternativi per non pagare quegli spiccioli che uno sviluppatore chiede per il proprio lavoro? Probabilmente è vero che alcuni prezzi sono oggettivamente fuori standard, ma siamo convinti che il nostro barbiere non ci veda proprio di buon occhio se andiamo a farci fare un trattamento completo e poi lo paghiamo uscendo dal retro di soppiatto.