skip to Main Content

Cybercrime, FTCODE è sempre più “cattivo” e punta Android

Cybercrime, FTCODE è Sempre Più “cattivo” E Punta Android

Il CERT-PA diffonde un bollettino sul fatto che il cybercrime usa FTCODE per attaccare gli utenti Android

Il malware FTCODE, che prende di mira da qualche tempo l’Italia, attacca anche i cellulari Android. Lo hanno scoperto i ricercatori di cyber security del CERT-PA, che hanno diffuso un bollettino su questa ultima minaccia. Gli esperti hanno ricordato che il codice malevolo si è evoluto velocemente e consistentemente. Partendo dalle prime versioni la cui unica funzionalità era quella di ransomware (con alcuni difetti) e finendo nelle versioni attuali che rubano anche le informazioni personali dell’utente (come password e cookie). Nel mezzo di questa evoluzione il cybercrime ha valutato che la possibilità di attaccare cellulari Android valesse lo sforzo di sviluppare un malware apposito per il sistema operativo mobile. Ciò, probabilmente in quanto le campagne diffuse finora hanno generato un sufficiente ritorno di investimento. Per il momento, comunque, il pericolo sembra essere limitato ad Android. Non sembra, infatti, esserci un’analoga minaccia per utenti iOS4.

Gli esperti di cyber security: Il malware per mobile, a differenza della versione per Windows, non è un ransomware. Ma ma ruba informazioni dell’utente

La versione di FTCODE per Android, contrariamente a quella inviata agli utenti Windows, non è un ransomware ma un malware in grado di rubare informazioni dell’utente. Dal numero di telefono agli SMS ricevuti, al testo digitato e perfino i passi percorsi dall’utente. Come è avvenuto per il ransomware, le cui prime versioni presentavano difetti ed incompletezze, anche in questo caso il codice malevolo sembra incompleto. Ciò lo si evince dal fatto che alcune funzionalità, sebbene presenti, non sono usate e fa presupporre che la sua introduzione sia avvenuta recentemente. Il CERT-PA ha scoperto la minaccia nel corso dell’analisi di una campagna malspam per veicolare FTCODE in Italia, rilevata il 18 novembre il CERT-PA. Visitando il link da cellulare Android, il risultato era diverso rispetto a Windows: invece di scaricare un archivio ZIP o una pagina di errore, il file servito era un APK di nome PostaElettronicaCertificata.apk.

Ecco a cosa mira il codice malevolo

La funzionalità principale dell’applicazione FTCODE per Andoid è rubare i dati personali dell’utente. Le evidenze trovate dagli esperti di cyber security hanno portato a concludere che le seguenti informazioni sono collezionate ed eventualmente esfiltrate:

  1. Operatore telefonico e relativo paese.
  2. Modello del cellulare.
  3. Numero di telefono.
  4. Contatti.
  5. SMS ricevuti.
  6. Livello della batteria.
  7. Testo digitato, pulsanti cliccati e finestre in primo piano.
  8. Eventuali credenziali inserite in pagine di phishing presentate dall’applicazione.
  9. Applicazioni con cui l’utente ha interagito.
  10. Passi percorsi dall’utente.

Come è comune nei malware di certi attori, anche in questo è presente un controllo sulla nazionalità dell’operatore. Gli utenti con schede in Armenia, Azerbaigian, Bielorussia, Kazakistan, Kirghizistan, Moldavia, Russia, Turkmenistan, Ucraina e Uzbekistan sono immuni agli attacchi cibernetici.

FTCODE, per avere accesso ai dati collezionati, sfrutta tre meccanismi

Il CERT-PA avverte che FTCODE non usa nessun exploit noto o zero-day per ottenere privilegi di root, di fatto non effettuando mai un privilege escalation. Per avere accesso ai dati collezionati sfrutta tre meccanismi:

1. Alcuni permessi (tipo READ_SMS) permettono l’accesso a dati sensibili qualora l’utente acconsenta.

2. Servizi di accessibilità. Pensati per offrire funzionalità come screen reader per gli ipovedenti, i servizi di accessibilità sono spesso abusati in quando hanno accesso agli elementi presenti sullo schermo; tra cui il loro contenuto e la possibilità di scatenare azioni (tipo il click) su di questi.

3. Amministrazione del dispositivo. Android permette ad applicazioni enterprise di imporre alcune policy sul dispositivo che applicazioni non amministratore non possono gestire.

Come funziona il malware

I tre meccanismi usati da FTCODE per accedere ai dati collezionati richiedono l’autorizzazione dell’utente. I permessi dell’applicazione sono spesso ignorati dall’utente e su questo fa leva anche questo malware. Per farsi abilitare il proprio servizio di accessibilità, questo mostra una schermata (contenente una pagina HTML) che al click apre la pagina di impostazioni di accessibilità. Poco dopo viene mostrato un Toast (il tipico messaggio in sovrimpressione presente in Android) che incita ad abilitare “Posta Elettronica Certificata”. Il risultato è quello di abilitare il servizio di accessibilità ingannando l’utente. Una volta abilitato, il servizio di accessibilità non solo è in grado di leggere il contenuto dello schermo ma anche di interagirvi.

Alcuni consigli su come proteggersi da questa minaccia cibernetica molto pericolosa

La minaccia di FTCODE è molto elevata, ma è possibile comunque proteggersi. Ecco alcuni consigli dagli esperti di cyber security su come fare:

  1. Non installare applicazioni scaricate al di fuori degli store ufficiali (Google, Samsung, ecc.) ed anche in questo caso non installare applicazioni da autori non ufficiali o applicazioni scaricate poche volte.
  2. Non accettare mai i permessi di un’applicazione a meno che questi non siano relativi alla funzionalità principale dell’applicazione. Ad esempio, non accettare la richiesta di accedere ad internet se presentata da un’applicazione la cui funzione è fare da calcolatrice.
  3. Non abilitare mai un’applicazione come servizio di accessibilità a meno che la fonte non sia estremamente autorevole, accettare i servizi di accessibilità di un’applicazione significa dare a questa accesso a tutte le interazioni dell’utente con le altre applicazioni (testo inserito, elementi cliccati e simili). Il medesimo discorso si applica anche per le applicazioni che richiedono di poter amministrare il dispositivo.
  4. Fare attenzione a comportamenti insoliti, come impostazioni non più accessibili, schermate che si aprono improvvisamente e simili.
  5. Preferire le connessioni WiFi a quelle dati. Le prime infatti possono essere protette da un firewall che impedisce ai malware di comunicare con il proprio centro di comando e controllo (CnC).
Back To Top