Ransomware Android in circolazione, chiede una carta regalo iTunes come riscatto

Ransomware Android Dogspectus si installa silenziosamente sul tuo smartphone e richiede un riscatto di $200 in carte regalo iTunes

I ricercatori di sicurezza di Blue Coat hanno scoperto una nuova campagna di distribuzione di malware mobile che diffonde un ransomware Android chiamato Dogspectus, che non richiede alcun tipo di interazione da parte dell’utente per infettare i dispositivi con ransomware.

Gli esperti di Blue Coat Labs hanno individuato la minaccia dopo che un tablet che eseguiva CyanogenMod 10 / Android 4.2.2 ha visualizzato un annuncio che ha silenziosamente servito payload dannosi senza alcuna interazione dell’utente.

L’infezione si verifica quando gli utenti visitano un sito web che contiene codice JavaScript contaminato. Blue Coat Labs afferma che il codice dannoso viene consegnato tramite annunci malevoli (malvertising). Il codice dannoso dirotta gli annunci mobili per truffare carte regalo, bloccando il dispositivo in uno stato che consente solo alle vittime di effettuare il pagamento.

I ricercatori di sicurezza di Zimperium hanno confermato che il codice dannoso conteneva un exploit trapelato l’anno scorso nella violazione dei dati di Hacking Team.

L’attacco è molto sofisticato e segna l’evoluzione del classico attacco di malvertising, come spiegato di seguito da Andrew Brandt di Blue Coat.

“Questa è la prima volta, a mia conoscenza; un kit di exploit è stato in grado di installare con successo app dannose su un dispositivo mobile senza alcuna interazione da parte della vittima. Durante l’attacco, il dispositivo non ha visualizzato la normale finestra di dialogo “permessi dell’applicazione” che di solito appare prima dell’installazione di un’applicazione Android.” ha scritto Brandt.

Dopo ulteriori analisi con l’aiuto dei ricercatori di Zimperium, è emerso che l’exploit sfrutta una vulnerabilità nella libreria libxslt di Android che consente agli attaccanti di scaricare un binario Linux ELF chiamato module.so sul dispositivo.

Questo binario utilizza l’exploit Android noto come Towelroot per ottenere privilegi di root sul dispositivo. Lo strumento è stato rilasciato nel 2014 dal popolare hacker George Hotz, ed è in grado di rootare i dispositivi Android sfruttando un difetto noto di Linux (CVE-2014-3153).

Una volta conferito l’accesso root, module.so scaricherà anche un APK Android aggiuntivo (Android Application Package), che contiene il codice ransomware. L’attaccante può quindi installare silenziosamente il ransomware con accesso root in mano e senza richiedere all’utente alcun permesso.

Il nome di questo trojan ransomware è Dogspectus o Cyber.Police ed è stato rilevato per la prima volta nel dicembre 2014. Rispetto ai ransomware basati su desktop che crittografano i file, questa applicazione non crittografa i file dell’utente. Invece, visualizza un avviso falso, presumibilmente da parte delle forze dell’ordine, che afferma che è stata rilevata un’attività illegale sul dispositivo e che il proprietario deve pagare una multa.

Blue Coat Labs afferma che le vittime infette inviano traffico non crittografato dal loro dispositivo a un server centrale di comando e controllo. L’azienda è stata in grado di tracciare il traffico proveniente da 224 diversi modelli di dispositivi Android (tablet, smartphone), utilizzando versioni di Android comprese tra 4.0.3 e 4.4.4.

La versione ufficialmente supportata più bassa di Android è 4.4.4, il che significa che gli attaccanti stanno prendendo di mira gli utenti che non sono riusciti o non possono aggiornare i loro dispositivi.

“Il fatto che alcuni di questi dispositivi non siano noti per essere vulnerabili specificamente all’exploit libxlst di Hacking Team significa che potrebbero essere stati utilizzati exploit diversi per infettare alcuni di questi [altri] dispositivi mobili,” osserva Brandt.

“Il ransomware non minaccia di (o effettivamente) crittografare i dati della vittima. Piuttosto, il dispositivo è mantenuto in uno stato bloccato in cui non può essere utilizzato per nulla se non per consegnare il pagamento ai criminali sotto forma di due codici di carte regalo Apple iTunes da $100,” ha scritto Brandt in una nota di ricerca.

Le vittime che scelgono di pagare il riscatto per sbloccare il loro telefono sono indirizzate a pagare una “multa” tra $100 e $200 a un “conto di tesoreria” inviando codici di carte regalo iTunes.

Tuttavia, Brandt ha affermato che il modo più semplice ed efficace per rimuovere il ransomware è ripristinare il dispositivo Android al suo software originale di fabbrica. Quindi, nel caso in cui ti trovi infettato dal ransomware Android Dogspectus, si suggerisce di collegare il dispositivo al PC e copiare i dati personali sul computer prima di optare per un ripristino di fabbrica.

Inoltre, è sempre consigliato aggiornare il dispositivo all’ultima versione di Android, poiché le versioni più recenti del sistema operativo includono patch di vulnerabilità e altri miglioramenti della sicurezza. Inoltre, gli utenti dovrebbero limitare le loro attività di navigazione web sul dispositivo, una volta che esce dal supporto e non riceve più aggiornamenti. Allo stesso modo, sui dispositivi più vecchi, invece di utilizzare il browser Android predefinito, dovrebbero installare un browser come Chrome.