All’edizione di quest’anno della “RSA Conference” due ex ricercatori di McAfee – George Kurtz e Dmitri Alperovitch – hanno presentato uno strumento capace di infettare gli smartphone Android, a partire dalla versione 2.2 del sistema operativo. Secondo quanto riferito, il “Remote Access Tool” sviluppato dal duo Kurtz-Alperovitch farebbe leva su un bug non ancora risolto presente nel motore di rendering delle pagine web WebKit.
Gli esperti hanno pubblicamente affermato di aver acquistato tutti i dettagli circa la vulnerabilità di WebKit “sul mercato nero” insieme con alcuni tool avanzati. Il costo del materiale si aggirebbe intorno ai 1.400 dollari.
Un semplice clic su un link malevolo sarebbe sufficiente per innescare l’infezione: il malware viene scaricato da un server remoto ed automaticamente eseguito sullo smartphone Android. In realtà, non appena in esecuzione, il codice maligno provoca un crash del dispositivo ed il malware riesce ad installarsi non appena il telefono viene riavviato. Come fanno notare Kurtz ed Alperovitch, la modalità di aggressione illustrata alla “RSA Conference” evidenzia come gli attacchi “drive-by download“, molto comuni in ambiente Windows, siano ormai arrivati anche sugli smartphone.
Una volta insediatosi sul sistema, il malware – costruito “riciclando” il codice del trojan “Nickspy“, in circolazione da diverso tempo – è capace di registrare le conversazioni telefoniche, attivare la fotocamera presente sullo smartphone, “leggere” i numeri digitati, effettuare una copia del contenuti dei messaggi memorizzati sullo smartphone comunicando tutte le informazioni ad un server remoto “command and control” gestito dai malintenzionati.
I dati sottratti all’utente vengono visualizzati su una cartina Google Maps che indica la posizione in cui si trova lo smartphone attaccato e, presumibilmente, il suo legittimo proprietario.
Secondo Kurtz, la vulnerabilità utilizzata in WebKit potrebbe essere sfruttata per mettere a punto codice malevolo anche su altri sistemi operativi utilizzati nel mondo “mobile”. Interrogato a proposito di Apple iOS, Kurtz ha confermato che un’aggressione simile può essere sferrata anche sulla piattaforma della Mela precisando, però, che sarebbe comunque necessaria l’acquisizione di privilegi utente più elevati (root). “In questo modo sarebbe possibile bypassare l’App Store per ciò che riguarda l’installazione del software, così come abbiamo fatto con Android“, ha aggiunto.
Da oggi, chi volesse mettere alla prova il funzionamento di una qualunque applicazione Android prima di eseguirla sul telefono, può inviare il corrispondente file .apk a questo servizio. Si tratta di un esperimento appena lanciato dall’università tedesca di Erlangen-Nürnberg. L’applicazione Android, una volta caricata online, viene eseguita in un ambiente virtuale offrendo poi un resoconto finale sulle operazioni poste in essere. Un servizio equivalente per gli eseguibili Windows è “Anubis” (ved., a tal proposito, questo nostro articolo).