Le icone Android possono essere sfruttate dagli hacker utilizzando una vulnerabilità per portare l'utente a un sito di phishing quando cliccato – FireEye

FireEye ha segnalato di aver recentemente individuato un’applicazione Android malevola che potrebbe modificare le icone di altre app sullo smartphone o tablet Android degli utenti. Una volta modificate le icone, se e quando venivano cliccate dall’utente dello smartphone, l’utente sarebbe stato inviato a un sito di phishing.

Il rapporto del blog di FireEye scritto dai ricercatori di sicurezza Hui Xue, Yulong Zhang e Tao Wei afferma che l’app malevola ha abusato di un insieme di autorizzazioni per modificare le impostazioni di configurazione del launcher predefinito di Android e le icone.

Il malware sta abusando di un insieme di autorizzazioni note come “com.android.launcher.permission.READ_SETTINGS” e “com.android.launcher.permission.WRITE_SETTINGS.”

• *

Secondo i ricercatori di FireEye, le due autorizzazioni sopra menzionate sono state a lungo classificate come “normali”, una designazione data alle autorizzazioni delle applicazioni ritenute prive di possibilità malevole. Pertanto, queste autorizzazioni non sono incluse nel set standard di autorizzazioni che un utente Android deve ‘accettare’ quando installa una nuova app.

• *

Questa designazione “normale” data dal sistema operativo Android è la falla che gli autori del malware hanno utilizzato per scrivere questa particolare app malevola. L’app malevola “ha utilizzato queste autorizzazioni normali” e ha sostituito le icone legittime della schermata principale di Android con icone false che puntano a app o siti di phishing,” hanno scritto.

• *

Gli autori hanno ulteriormente affermato che FireEye ha sviluppato un attacco proof-of-concept utilizzando il tablet Nexus 7 di Google con Android versione 4.2.2 per dimostrare che le icone potevano essere modificate per inviare le persone a un altro sito web. FireEye è stata in grado di eludere i controlli di sicurezza di Google e di caricare l’app che ha chiamato ‘ThisIsATestApp’ sul Google Play store, che è stata rimossa dopo aver confermato il loro Proof of Concept.

Il Google Play store, che controlla le app per problemi di sicurezza, specialmente dopo l’apparizione di app false su Google Play, ha considerato l’app legittima e l’ha pubblicata su Google Play. FireEye ha aggiunto che nessuno ha scaricato l’app PoC per il breve momento in cui è stata elencata su Google Play Store.

• *

FireEye ha fornito a Google il Proof of Concept riguardo a questa vulnerabilità nel mese di ottobre 2013 e Google ha emesso una patch nel febbraio 2014 per superare questa vulnerabilità, afferma FireEye. Google ha emesso la patch a tutti i suoi partner OEM poiché doveva essere inclusa nell’aggiornamento stesso, ma FireEye afferma che non tutti gli OEM sono abbastanza veloci da aggiornare e aggiornare le patch di sicurezza. Ciò significa che diversi smartphone Android che eseguono il ROM stock sono ancora vulnerabili a questa app malevola.

• *

FireEye afferma che anche i ROM personalizzati disponibili in tutto il mondo trattano le autorizzazioni sopra menzionate come legittime, rendendo così vulnerabili anche gli smartphone Android che eseguono CyanogenMod a questo attacco. FireEye ha testato un Nexus 7 che eseguiva CyanogenMod custom ROM, così come un Samsung Galaxy S4 che eseguiva Android 4.3 e un HTC One che eseguiva 4.4.2. Tutti classificano le autorizzazioni “read_settings” e “write_settings” come normali.

• *

FireEye ha esortato ogni fornitore Android ad aggiornare la versione OEM di Android con la patch di sicurezza. Il vero pericolo è che gli attaccanti potrebbero modificare l’icona di un’applicazione bancaria e ingannare gli utenti nel divulgare informazioni sensibili come le credenziali del loro conto bancario su un sito web falso che hanno creato.

Risorsa : Blog di FireEye