Si chiama attacco overlay una tecnica informatica fraudolenta che affligge da tempo la piattaforma Android, dapprima in perfetto stile clickjacking e da alcuni anni a questa parte sfruttando addirittura alcune funzionalità legittime dello stesso sistema operativo. Prime fra tutte, quelle relative ai servizi di accessibilità AAS (Android Accessibility Suite), progettate per aiutare gli utenti con disabilità visive e uditive.
Le molteplici varianti dei cosiddetti overlay malware, particolari forme di trojan che si insinuano attraverso applicazioni apparentemente legittime e scaricate da un sito compromesso oppure distribuite aggirando i controlli di sicurezza dello stesso Play Store (il malware è solitamente dormiente e si attiva solo dopo l’effettiva installazione), sono state rintracciate e segnalate come attive in natura sin dal 2017: si pensi ai vari BanckBot, Anubis, Ginp e Cerberus, solo per citarne alcune.
In tutto il mondo si contano numerose vittime tra gli utenti del robottino verde, cadute nelle maglie di “attacchi di sovrapposizione” implementati secondo modalità in continua evoluzione.
In uno scenario di attacco tipico accade che un’applicazione malevola, sovrapponendosi a quella legittima oppure emulando clic su finestre, pulsanti e menu, può essere in grado di eseguire azioni per conto dell’ignara vittima, carpendo eventuali dati inseriti come password, codici e PIN e successivamente inoltrarli verso una centrale di comando remota e presidiata.
Indice degli argomenti
Servizi di accessibilità (AAS): possibile via di attacco overlay
Questa funzionalità, come detto, progettata per aiutare gli utenti con determinate disabilità, richiede all’utente tramite popup l’abilitazione alle seguenti funzioni:
- leggere ad alta voce il testo dallo schermo;
- modificare alcune opzioni di visualizzazione come dimensione e colore del testo, disposizione del layout;
- eseguire il riconoscimento vocale e dei gesti.
Quindi un’app malevola, adeguatamente programmata, se riuscisse ad ottenere questo tipo di autorizzazioni, potrebbe:
- leggere il testo dallo schermo, raccogliendo informazioni sensibili, credenziali, codici dispositivi inseriti dall’utente;
- compilare qualsiasi modulo di input con informazioni raccolte in precedenza per accedere alle app legittime;
- eseguire percorsi completi riproducendo click sui pulsanti a video;
- ampliare in modo significativo la scelta di ulteriori canali di attacco ottenendo autorizzazioni runtime (intercettazione/invio SMS, lettura contatti, registri e impostazione app predefinite).
Overlay malware: modello d’implementazione
I servizi di accessibilità di Android si sono purtroppo rivelati anche una funzionalità molto potente sfruttabile dai criminal hacker che, dopo averne compreso i meccanismi, possono confezionare un prodotto malevolmente efficace.
L’overlay malware tipo, solitamente con le fattezze di un mobile banking trojan, presenta un modello d’implementazione pressoché standard che segue un algoritmo suddiviso in due fasi principali:
- una fase iniziale di analisi passiva, che si occupa di enumerare e registrare attività, campi di input d’interesse e di rubare credenziali o altre informazioni utili;
- una seconda fase dedicata alla creazione ad hoc dell’overlay con l’emulazione dei click e degli inserimenti automatici nei moduli (utilizzando le credenziali carpite), completando positivamente processi di accesso e transazioni.
Contromisure per l’attacco overlay
Per contrastare un attacco overlay, un serio problema di sicurezza per i sistemi operativi Android, solo gli sviluppatori di Google possono intervenire sul codice proprietario con soluzioni e mitigazioni.
Interventi correttivi, dunque, apportati gradualmente tramite i major update degli ultimi anni, con aggiustamenti non solo in termini di usabilità ma anche di sicurezza e privacy (Android 10 nel 2019, Android 11 nel 2020).
Non tutti i dispositivi, però, potranno essere aggiornati (per negligenza dell’utente o per mancata compatibilità all’upgrade del proprio dispositivo) rimanendo di fatto vulnerabili. È plausibile, pertanto, pensare che i problemi di sicurezza di cui trattasi potranno essere risolti solo parzialmente ancora per qualche tempo, dato l’esiguo bacino di utenti effettivamente operativi con le ultime release.
Sicuramente l’autenticazione a più fattori rimane sempre una delle misure di difesa più importanti che gli sviluppatori di app in genere dovrebbero implementare (per i servizi di home banking è già obbligatoria dal 2019 la direttiva PSD2 per effetto del regolamento (UE) 2018/389) insieme ad una protezione multilivello RASP (Runtime Application Self-Protection) integrata.
I criminal hacker, infatti, in possesso di credenziali o dettagli di carte di credito, potranno fare ben poco qualora fosse anche necessario il possesso di un token, hardware o software che sia, per autorizzare una determinata azione sensibile oltre che superare più livelli di sicurezza per riuscire a compromettere un dispositivo.
È consigliabile, pertanto, che gli utenti continuino sempre e comunque a seguire consapevolmente delle semplici raccomandazioni:
- affidarsi solo ad app store ufficiali che restano sempre e comunque le uniche fonti attendibili;
- verificare la legittimità delle app bancarie utilizzate, rapportandosi con i relativi servizi clienti;
- controllare le recensioni prima di scaricare una qualsiasi app, prestando attenzione alle autorizzazioni richieste durante l’installazione, concedendole solo se sicuri che siano necessarie per il loro corretto funzionamento;
- adoperare come per i PC anche per gli smartphone degli strumenti antivirus adeguati;
- cercare di tenere aggiornati i propri dispositivi almeno con le patch di sicurezza mensili o i minor update rilasciati all’occorrenza.
