Scoperto dall’azienda di sicurezza Cyble, Antidot è un nuovo malware che riguarda l’universo Android. Si presenta come un innocuo aggiornamento dello store di app Google Play e, sollevando pochi dubbi sulla sua autenticità, elude con relativa facilità le eventuali resistenze degli utenti più attenti a ciò che installano sui rispettivi terminali.
Con l’ingegnere membro Clusit Salvatore Lombardo tracciamo un cerchio attorno alle evoluzioni delle minacce per Android, sempre più sofisticate e difficili da rilevare. Come vedremo, credere che i dispositivi con a bordo il sistema operativo di Google siano presi di mira solo perché rappresentano il 71% del mercato mondiale è limitante.
Indice degli argomenti
Cosa fa Antidot
Antidot emula un aggiornamento di Google Play e induce gli utenti a concedere permessi di alto livello. Una volta installato avvia una comunicazione con i server remoti gestiti dai cyber criminali e sfrutta gli attacchi overlay per raccogliere i dati sensibili delle vittime.
Il dispositivo, ormai in balia degli attaccanti, diventa un oggetto utile per:
- Raccogliere contatti e messaggi sms
- Inoltrare le telefonate
- Registrare lo schermo
- Gestire delle richieste USSD
I codici USSD (Unstructured Supplementary Service Data) sono quelle sequenze di numeri che consentono di accedere con lo smartphone ai servizi messi a disposizione dagli operatori mobili. Per esempio, i codici per l’attivazione di funzioni supplementari, per le informazioni sul credito residuo o per le configurazioni particolari (deviazione di chiamate, segreteria telefonica, eccetera).
Sono comuni a tutti i dispositivi mobili, a prescindere dal sistema operativo utilizzato.
Antidot è da considerare persistente e, usando tecniche di offuscamento, diventa più difficile da individuare e, di conseguenza, da eliminare.
Come si evita Antidot
Come sempre le vie da seguire rispondono ai nomi di consapevolezza e strumenti. Da una parte, per evitare di cadere nelle trappole, è utile avere quella conoscenza che induce a verificare la fonte dell’app o dell’aggiornamento che si sta per installare. Va da sé che l’aggiornamento Google Play che Antidot usa per camuffarsi è falso, ossia non è stato rilasciato da Big G.
Una rapida verifica può fugare ogni dubbio e andrebbe fatta per salvaguardare la sicurezza del dispositivo e la propria privacy.
A supporto subentrano diverse tecnologie, tra le quali:
- Un software antivirus sia sul dispositivo mobile sia su tutti i dispositivi ai quali questo si connette (tipicamente pc fissi o mobili)
- Gli aggiornamenti dei dispositivi mobili e delle applicazioni
- L’attivazione di Google Play Protect, la funzione di sicurezza integrata nei dispositivi Android che protegge da minacce come malware e virus in genere.
Tutto ciò, tuttavia, non può essere considerato singolarmente: occorrono tanto gli strumenti per la difesa quanto la consapevolezza e la cultura cyber.
I limiti dei sistemi operativi mobili
Perché Android è sempre tra le mire degli hacker, mentre iOS e iPadOS lo sono molto meno? Questo è un aspetto cruciale di cui tenere conto quando si acquista uno smartphone o un tablet ma, ancora prima, è fondamentale per comprendere quali sono le criticità dei dispositivi.
Le differenze sostanziali tra i sistemi operativi dal punto di vista della cyber security li illustra l’ingegner Lombardo: “Diversi sono i fattori che combinati rendono Android un obiettivo più frequente agli attacchi informatici rispetto a iOS.
In primis Android è un sistema operativo open-source, il che significa che chiunque (compresi gli attaccanti) può studiare il codice e trovare potenziali vulnerabilità. Un altro fattore da tenere in considerazione è anche la frammentazione del sistema operativo. I produttori di dispositivi spesso personalizzano Android per adattarlo a specifici requisiti hardware, introducendo potenzialmente nuove vulnerabilità e rallentando, di fatto, la distribuzione degli aggiornamenti di sicurezza. Android ha anche una quota di mercato globale maggiore rispetto a iOS. Questo significa che ci sono più dispositivi in circolazione e quindi maggiori potenziali obiettivi. Inoltre, sebbene siano migliorati i controlli su Google Play store, in passato è stato significativo il numero di applicazioni malevole che sono riuscite a superare i controlli di sicurezza.
Quanto fin qui detto non significa che iOS, anche se beneficia di un ecosistema più chiuso e controllato, sia un sistema operativo invulnerabile. Anche iOS può contenere bug, subire exploit e i suoi utilizzatori come gli altri cadere vittima di attacchi di social engineering che non dipendono da vulnerabilità software. Nessun sistema può essere considerato completamente immune agli attacchi e la sua sicurezza dipende da un uso consapevole da parte degli utenti, da un’attenta implementazione dei protocolli di sicurezza da parte degli sviluppatori e dalla rapidità con cui vengono risolte le vulnerabilità scoperte”.
Per l’ennesima volta, la reale differenza la fa la consapevolezza con cui facciamo uso degli strumenti che accompagnano le nostre giornate.
