Last Updated on December 31, 2010

Ebbene si, sono stato un buono (o cattivo, dipende dai punti di vista) profeta. In un recente articolo, commettando le previsioni di Symantec per i trend di sicurezza del 2011, mi ero sbilanciato indicando che nel corso del prossimo anno avremmo assistito alla diffusione di botnet composti da terminali mobili compromessi.

Non sono passati nemmeno 15 giorni e l’Androide, come molti umani in questo periodo, ha preso l’Australiana, anzi la Cinese. Una cinese un po’ particolare per la verità, come indicato da  Lookout, produttore di software di sicurezza per dispositivi mobili, che ha scoperto un trojan dagli occhi a mandorla dal nome suggestivo di Geinimi, in grado non solo di accedere ai dati del telefono, ma anche di consentirne il controllo da remoto, ed il conseguente utilizzo malevolo da parte del controllante.

Il fatto che sia possibile controllare da remoto un dispositivo mobile non deve stupire poiché chi utilizza i terminali di nuova generazione sa bene come questi dispositivi, spesso ad insaputa dell’utente), debbano essere sempre connessi (per la gioia degli operatori) al fine di utilizzarne a pieno le funzioni di accesso agli app store, le funzioni di tipo enterprise, e soprattutto di integrazione con i Social Network che stanno facendo la fortuna di Mr. Zuckerberg e dei bilanci delle compagnie telefoniche (evviva Apndroid!).

Il malware in questione ha tutte le caratteristiche botnet-like:

The most sophisticated Android malware Lookout has seen to date, Geinimi is also the first Android malware in the wild that displays botnet-like capabilities.

Per ora il vettore di infezione appare abbastanza circoscritto poiché il malware viene contratto installando applicazioni  (su cui lo stesso è nascosto) da un app store parallelo ed occorre pertanto che nel terminale sia impostata l’opzione di accettare applicazioni di origini sconosciute.

Come funziona il malware?

Quando un applicazione contenente il malware Geinimi viene lanciata, il Trojan gira in background e raccoglie informazioni significative sul dispositivo in grado di compromettere la privacy. Le informazioni raccolte includono: coordinate e identificativi univoci del dispositivo e della SIM quali IMEI e IMSI.

Ad intervalli di 5 minuti, il malware tenta di connettersi ad un server remoto utilizzando uno tra dieci nomi di dominio cablati al suo interno. Tra questi sono stati riconosciuti:  www.widifu.com, www.udaore.com, www.frijd.com, www.islpast.com e www.piajesj.com.Se riesce a stabilire la connessione, Geinimi trasmette le informazioni raccolte al server remoto, sebbene non ci sia ancora evidenza della trasmissione di codice remoto dal server verso il dispositivo.

Le evidenze raccolte sino ad ora indicano che il malware è in grado di eseguire le seguenti azioni sul dispositivo “ospitante”:

• Invio delle coordinate geografiche;
• Invio dei parametri di identificazione di dispositivo e SIM (IMEI e IMSI);
• Download di una applicazione e richiesta di installazione all’utente;
• Richiesta di disinstallazione di una applicazione;
• Invio al server della lista di applicazioni installate.

Come si nota, sebbene il malware sia in grado di inizializzare il download, l’installazione o la disinstallazione di una certa applicazione, all’utente è sempre richiesta la conferma delle operazioni (ma quanti sono gli utenti che usano il proprio terminale in maniera inconsapevole?).

Secondo i ricercatori di Lookout, la novità del malware risiede nel suo livello di sofisticazione mai visto prima in una malattia informatica dell’Androide: Geinimi difatti è in grado di offuscare le proprie nefaste attività ed inoltre una porzione significativa dei dati di comando e controllo sono cifrati.

D’altronde i virus in ambito mobile non sono una novità, già evidenziati dalle previsioni in giallo di Symantec per il 2011, sono stati recentemente confermati anche dalle previsioni in rosso di McAfee per il 2011. Peccato che anche in questo, come in molti altri casi, si sia dato improvvidamente per scontato che il target maggiore delle infezioni sarebbe stato il rampollo di casa Apple.

Non c’è niente da fare, sembra proprio che l’Androide verde di Mountain View sia destinato a bruciare tutte le tappe, inclusa quella, poco invidiabile, del terminale mobile con il maggior livello di sofisticazione delle minacce informatiche.