Nuova vulnerabilità ‘Fakedebuggerd’ nel sistema operativo Android 4.x consente accesso root agli hacker

Table Of Contents

• Nuova vulnerabilità ‘Fakedebuggerd’ in tutte le versioni del sistema operativo Android fino a Lollipop, consente accesso root agli hacker
• Fakedebuggerd prende di mira i dispositivi Android 4.x
• Modus Operandi

Nuova vulnerabilità ‘Fakedebuggerd’ in tutte le versioni del sistema operativo Android fino a Lollipop, consente accesso root agli hacker

I ricercatori di sicurezza della compagnia cinese di antivirus 360 hanno scoperto una nuova vulnerabilità nel sistema operativo Android di Google, chiamata ‘Fakedebuggerd.’ Questa nuova vulnerabilità consente ai potenziali hacker di ottenere accesso root per installare file e aumentare i privilegi sugli smartphone e tablet che eseguono Android OS e di eseguire codici malevoli a piacimento.

Secondo i ricercatori di 360, la vulnerabilità Fakedebuggerd consente a un potenziale attaccante di accedere a un’area che può essere raggiunta solo con permessi di sistema o root. La vulnerabilità utilizza due exploit di escalation dei privilegi (PE) noti per Android 4.x, ‘FramaRoot’ e ‘TowelRoot’, per eseguire codice con privilegi di root e installare un toolkit di root sul dispositivo. Questo consente al potenziale hacker di nascondere il codice sia all’utente Android che alle soluzioni di sicurezza in esecuzione sui dispositivi. Di conseguenza, l’hacker può iniettare qualsiasi app malevola senza che gli utenti se ne accorgano.

Fakedebuggerd prende di mira i dispositivi Android 4.x

La vulnerabilità è di alto rischio poiché offre una seria escalation dei privilegi ai gestori di malware e questa è la prima volta che i ricercatori hanno trovato vulnerabilità di escalation dei privilegi in Android 4.x.

Come detto sopra, utilizza insieme due exploit, ‘TowelRoot’ e ‘FramaRoot’, il che significa che ha un tasso di infezione più elevato e maggiori possibilità di nascondersi dai motori AV a bordo del dispositivo degli utenti. L’exploit Towelroot si basa sulla vulnerabilità del syscall futex() (CVE-2014-3153). Questa vulnerabilità di Linux è stata scoperta cinque mesi fa da Comex e colpisce quasi tutti i dispositivi Android precedenti ad Android 5.0 Lollipop.

L’altro exploit, Framaroot, è fondamentalmente uno strumento di rooting e si basa su diversi exploit per la maggior parte dei dispositivi Samsung, LG, Huawei, Asus e ZTE e altro ancora. Gli exploit che formano il Framaroot sono nominati dopo i personaggi della popolare trilogia di JRR Tolkien “Il Signore degli Anelli,” come Gandalf, Boromir, Pippin, Legolas, Sam, Frodo, Aragorn e Gimli. Quasi tutti gli smartphone Android prodotti dalle aziende sopra menzionate sono in grado di eseguire Framaroot abbastanza facilmente, il che rende Fakedebuggerd un vettore molto potente.

Modus Operandi

Una volta che la vulnerabilità Fakedebuggerd viene sfruttata e il toolkit di root è distribuito sul dispositivo infetto, il codice malevolo raccoglie dati sensibili come identificatori unici, versioni del dispositivo e dati di connettività di rete. Inoltre, installerà app non necessarie come Torcia e Calendario senza il permesso degli utenti. Il Fakedbuggerd è piuttosto aggressivo nelle sue intenzioni e utilizza misure estreme per mantenerle installate. Anche se queste app vengono rimosse dall’utente utilizzando privilegi di root, il Fakedbuggerd le reinstalla automaticamente utilizzando l’exploit PE.

E come detto sopra, a causa della perfetta tecnica di nascondimento del malware, semplicemente eliminare le app sospette non funzionerà in questo caso.

Il malware Fakedbuggerd è una seria minaccia a causa della sua capacità di accedere ai privilegi di root e di eseguire codici carichi di malware sui dispositivi infetti. Nel mondo di oggi, in cui i dati aziendali critici e riservati e i telefoni cellulari sono interconnessi, Fakedbuggerd può causare danni mai visti prima.

Ad oggi, nessuna soluzione di sicurezza o antivirus può rilevare questo malware, quindi la precauzione è il miglior rimedio contro l’infezione attraverso questa vulnerabilità.

• Stai lontano da APK di terze parti e non verificati e utilizza le app ufficiali di Google Play per il download.

• Anche se devi scaricare un APK, attieniti a sviluppatori di app fidati e ben recensiti.

• Fai attenzione a pubblicità false (malvertisements) e link di phishing in tutte le forme di comunicazione – SMS, email e social network.

Risorsa: 360 Blog.