Diamo il benvenuto a Godless, il nuovo ennesimo malware Android

Ti interessa questa notizia? Condividila sui tuoi social preferiti!

I ricercatori di sicurezza hanno rilevato una famiglia di app dannose chiamata Godless, disponibili su Google Play, che contengono codice maligno in grado di violare in segreto circa il 90% di tutti i telefoni Android.

Trend Micro ha scoperto che Godless contiene una raccolta di exploit root che funziona contro qualsiasi dispositivo con sistema operativo Android 5.1 o precedente, ossia circa il 90% di tutti i dispositivi Android. Godless è stato trovato su diversi app store, tra cui Google Play, ed è stato installato su più di 850.000 dispositivi in ​​tutto il mondo. Godless ha colpito più forte in India, Indonesia e Thailandia, mentre meno del 2% delle persone infette sono degli Stati Uniti.

android-godless-malware-informatblog

Installata una app con codice maligno, Godless ha la capacità di scegliere da un vasto archivio di exploit quello giusto per effettuare il root del particolare dispositivo su cui sta girando. A questo proposito, la app funziona come i tanti exploit kit disponibili che permettono ai siti web di identificare le vulnerabilità specifiche nei browser dei singoli visitatori.

Veo Zhang di Trend Micro ha scritto: “Godless ricorda un exploit kit, in quanto utilizza un framework open source chiamato android-rooting-tools, che presenta vari exploit nel suo arsenale che possono essere utilizzati per effettuare il root di vari dispositivi Android. Le due vulnerabilità più importanti prese di mira da questo kit sono CVE-2015-3636 (utilizzata da PingPongRoot exploit) e CVE-2014-3153 (utilizzata da Towelroot exploit). Gli exploit rimanenti sono deprecati e relativamente sconosciuti anche alla comunità di sicurezza. Inoltre, con i privilegi di root, il malware può ricevere istruzioni remote su quali app scaricare e installare in silenzio su dispositivi mobili. Questo può quindi portare sui dispositivi degli utenti inconsapevoli app indesiderate, che possono poi portare ad annunci pubblicitari indesiderati. Ancora peggio, queste minacce possono anche essere usate per installare backdoor e spiare gli utenti.”

Le prime app Godless memorizzano gli exploit di root su un file binario denominato libgodlikelib.so direttamente sul dispositivo infetto. Una volta che un’app viene installata, attende che lo schermo del dispositivo si spenga e poi procede con la sua routine di root. Dopo averlo effettuato con successo, installa una app con privilegi di sistema in modo che non possa venire facilmente rimossa. Le app precedenti installano anche una app di sistema che implementa un client Google Play il quale scarica e installa automaticamente le app, e può persino lasciare una recensione nel Google Play per migliorare il suo posizionamento. (Fonte)

Loading...

Aggiungi commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *