17 app Trojan minacciano gli iPhone, cancellatele subito!
17 app Trojan minacciano gli iPhone, cancellatele subito!
Scoperte alcune app estremamente dannose per iPhone da eliminare velocemente
Gli utenti di iPhone saranno costretti a verificare i propri dispositivi dopo la divulgazione di un elenco di app dannose scoperte di recente. L'esposizione a tali pericoli su Google Play Store è ormai una cosa nota da tempo, con app adware, frodi in abbonamento e falle nella sicurezza. Ora però sembra il turno di Apple. Un nuovo rapporto del team di ricerca di Wandera afferma che 17 app create da uno sviluppatore possono inviare un modulo trojan clicker dannoso sui dispositivi iOS.
Apple afferma che le app in questione sono state rimosse dall'App Store e, al momento della loro analisi, non contenevano il malware trojan come affermato. Le app, invece, erano state rimosse per includere proprio il codice che abilitava il click-through artificiale degli annunci. Un portavoce di Apple ha confermato la rimozione delle app e che gli strumenti di protezione dell'App Store sono stati aggiornati per rilevare app simili in futuro.
Secondo Wandera, il trojan si è concentrato sulle frode pubblicitarie, ma ha anche inviato dati dal dispositivo infetto a un server esterno. Wandera ha riferito che un elemento ancora più preoccupante del malware, uno non incluso nello script, è un insieme di tecniche subdole per eludere il suo rilevamento. Il malware si attiva solo se caricato con una SIM attiva e lasciato in esecuzione per due giorni. Lo abbiamo già visto su Android, in un tentativo di nascondersi ai ricercatori sulla sicurezza in condizioni di laboratorio.
"Siamo rimasti sorpresi da questo", ha affermato il vicepresidente Wandera, Michael Covington, in vista della pubblicazione del rapporto. "Abbiamo visto un paio di problemi insinuarsi nell'App Store di Apple negli ultimi mesi, e sembra sempre essere un elemento di rete." A suo avviso, Apple non rileva l'elemento di runtime del comportamento di un'app quando viene scansionata prima dell'approvazione. "Non hanno una profonda competenza nella ricerca delle minacce", ha spiegato, "ma per trovare traffico di rete dannoso, bisogna guardare le app in diretta e vedere come si comportano".
Wandera, prima della pubblicazione del rapporto, aveva affermato che le app risultavano ancora disponibili per l'installazione. Da quel momento, però, Apple ha confermato la loro rimozione. Il fatto che abbiano ottenuto l'accesso allo Store è comunque preoccupante. Wandera afferma di aver scoperto le app dannose quando la sua piattaforma di monitoraggio ha rilevato il traffico di rete sul server C&C esterno. "Questo ci ha costretto a lavorare a ritroso", ha spiegato Covington, "abbiamo trovato una di quelle app e da lì siamo risaliti allo sviluppatore e poi agli altri indicatori di compromesso che hanno portato alle altre app".
Ognuna di queste app contiene un modulo trojan clicker "dannoso". Questo modulo può fare molto di più che generare semplicemente annunci fraudolenti. "Potrebbe potenzialmente rubare informazioni o aprire una backdoor", ha detto. "Ogni volta che rileviamo un'app che apre una connessione verso l'esterno, pensiamo che potremmo avere molto più di una semplice pubblicità indesiderata."
Tutte le app "eseguono attività correlate alle frodi pubblicitarie in background", afferma il rapporto, "come l'apertura continua di pagine Web o facendo clic su collegamenti senza alcuna interazione da parte dell'utente". Il modulo ha generato entrate per gli operatori mediante un sistema di pay per clic, gonfiando così il traffico del sito Web. Il comportamento evasivo, che non è spiegato nella relazione, indica un livello di sofisticazione che va oltre la semplice frode pubblicitaria. Progettare malware appositamente per superare in astuzia un laboratorio di ricerca sulla sicurezza, è un livello molto più alto.
Covington ritiene che una connessione esterna comporti un rischio elevato di compromissione dei dati, almeno in una certa misura. Il malware invia informazioni sul dispositivo e sulla posizione, potenzialmente anche alcuni dati dell'utente. Tra le app non ci sono comunque giochi. "Abbiamo trovato un gestore di contatti, una che gestisce le informazioni di viaggio, un'altra che aveva accesso all'accelerometro e alla posizione, che senza autorizzazioni specifiche controllava la videocamera o il microfono ed alcune altre simili."
Da parte sua, Apple non vuole creare allarmismi: "non vi era alcun pericolo oltre la frode isolata," dice, sottolineando che "la società pattuglia l'App Store per identificare e rimuovere qualsiasi app che rappresenti un pericolo per gli utenti".
Qualsiasi server C&C rappresenta chiaramente una qualche forma di rischio, tuttavia un collegamento esterno apre quasi sempre le porte ad ulteriori minacce. "Alcune informazioni sul dispositivo e l'utente vengono utilizzate per determinare quali annunci pubblicare", ha affermato Covington. "Ma abbiamo visto i server C&C fornire altri tipi di comandi: modificare le configurazioni o attivare attacchi di phishing, fornire pagine di accesso dall'aspetto legittimo per rubare le credenziali. O per distribuire payload dannosi ad app di massa o installarne altri. Una volta aperta una connessione verso l'esterno, possono succedere molte cose spiacevoli."
In questo caso, Wandera afferma di aver visto un abbassamento delle prestazioni dei dispositivi, un consumo eccessivo della batteria, un uso intenso della banda: "un annuncio esegue un flusso video per più di cinque minuti, altri contengono immagini di grandi dimensioni". Lo stesso server C&C è stato citato da Dr. Web nell'ambito di una campagna di malware Android. Dr. Web ha riferito che il server potrebbe indirizzare gli annunci, caricare siti Web, modificare la configurazione dei dispositivi, iscrivere in maniera fraudolenta gli utenti a contenuti premium. Nessuno di questi problemi aggiuntivi è stato rivendicato per il malware iOS.
Lo sviluppatore di queste app è AppAspect Technologies, con sede in India, un operatore con app sia per iOS che per Android. Wandera afferma di aver esaminato le app Android: nessuna conteneva il modulo trojan clicker, ma una volta erano state ritirate dal negozio e il modulo rimosso, le app sono state ripubblicate. Forse l'operatore si è concentrato su iOS, dove ci si aspetta meno problemi di questo tipo rispetto ad Android? Covington pensa che questa sia una possibilità.
Apple ha confermato che le app sono state rimosse e la buona notizia è che la loro eliminazione risolve eventuali problemi, senza lasciare residui. "Non c'è nessun accesso a quadri speciali che potrebbero lasciare qualcosa di dannoso alle spalle", ha spiegato Covington.
Per Apple, alla luce delle altre sfide alla sicurezza degli ultimi mesi, tra cui un attacco mirato di WhatsApp, l'attacco di malware cinese agli Uiguri, nuove opzioni di jailbreak, questa storia risulta piuttosto imbarazzante. La rapida rimozione delle app deve essere comunque applaudita, ma il fatto che le app dannose siano entrate nel negozio ovviamente rimane una preoccupazione.
Ecco la lista delle app infette che vi consigliamo di rimuovere immediatamente, se doveste averle nel vostro dispositivo:
RTO Vehicle Information
EMI Calculator & Loan Planner
File Manager - Documents
Smart GPS Speedometer
CrickOne - Live Cricket Scores
Daily Fitness - Yoga Poses
FM Radio PRO - Internet Radio
My Train Info - IRCTC & PNR? (not listed under developer profile)
Around Me Place Finder
Easy Contacts Backup Manager
Ramadan Times 2019 Pro
Restaurant Finder - Find Food
BMI Calculator PRO - BMR Calc
Dual Accounts Pro
Video Editor - Mute Video
Islamic World PRO - Qibla
Smart Video Compressor
Fonte: forbes.com
Scoperte alcune app estremamente dannose per iPhone da eliminare velocemente
Gli utenti di iPhone saranno costretti a verificare i propri dispositivi dopo la divulgazione di un elenco di app dannose scoperte di recente. L'esposizione a tali pericoli su Google Play Store è ormai una cosa nota da tempo, con app adware, frodi in abbonamento e falle nella sicurezza. Ora però sembra il turno di Apple. Un nuovo rapporto del team di ricerca di Wandera afferma che 17 app create da uno sviluppatore possono inviare un modulo trojan clicker dannoso sui dispositivi iOS.
Apple afferma che le app in questione sono state rimosse dall'App Store e, al momento della loro analisi, non contenevano il malware trojan come affermato. Le app, invece, erano state rimosse per includere proprio il codice che abilitava il click-through artificiale degli annunci. Un portavoce di Apple ha confermato la rimozione delle app e che gli strumenti di protezione dell'App Store sono stati aggiornati per rilevare app simili in futuro.
Secondo Wandera, il trojan si è concentrato sulle frode pubblicitarie, ma ha anche inviato dati dal dispositivo infetto a un server esterno. Wandera ha riferito che un elemento ancora più preoccupante del malware, uno non incluso nello script, è un insieme di tecniche subdole per eludere il suo rilevamento. Il malware si attiva solo se caricato con una SIM attiva e lasciato in esecuzione per due giorni. Lo abbiamo già visto su Android, in un tentativo di nascondersi ai ricercatori sulla sicurezza in condizioni di laboratorio.
"Siamo rimasti sorpresi da questo", ha affermato il vicepresidente Wandera, Michael Covington, in vista della pubblicazione del rapporto. "Abbiamo visto un paio di problemi insinuarsi nell'App Store di Apple negli ultimi mesi, e sembra sempre essere un elemento di rete." A suo avviso, Apple non rileva l'elemento di runtime del comportamento di un'app quando viene scansionata prima dell'approvazione. "Non hanno una profonda competenza nella ricerca delle minacce", ha spiegato, "ma per trovare traffico di rete dannoso, bisogna guardare le app in diretta e vedere come si comportano".
Wandera, prima della pubblicazione del rapporto, aveva affermato che le app risultavano ancora disponibili per l'installazione. Da quel momento, però, Apple ha confermato la loro rimozione. Il fatto che abbiano ottenuto l'accesso allo Store è comunque preoccupante. Wandera afferma di aver scoperto le app dannose quando la sua piattaforma di monitoraggio ha rilevato il traffico di rete sul server C&C esterno. "Questo ci ha costretto a lavorare a ritroso", ha spiegato Covington, "abbiamo trovato una di quelle app e da lì siamo risaliti allo sviluppatore e poi agli altri indicatori di compromesso che hanno portato alle altre app".
Ognuna di queste app contiene un modulo trojan clicker "dannoso". Questo modulo può fare molto di più che generare semplicemente annunci fraudolenti. "Potrebbe potenzialmente rubare informazioni o aprire una backdoor", ha detto. "Ogni volta che rileviamo un'app che apre una connessione verso l'esterno, pensiamo che potremmo avere molto più di una semplice pubblicità indesiderata."
Tutte le app "eseguono attività correlate alle frodi pubblicitarie in background", afferma il rapporto, "come l'apertura continua di pagine Web o facendo clic su collegamenti senza alcuna interazione da parte dell'utente". Il modulo ha generato entrate per gli operatori mediante un sistema di pay per clic, gonfiando così il traffico del sito Web. Il comportamento evasivo, che non è spiegato nella relazione, indica un livello di sofisticazione che va oltre la semplice frode pubblicitaria. Progettare malware appositamente per superare in astuzia un laboratorio di ricerca sulla sicurezza, è un livello molto più alto.
Covington ritiene che una connessione esterna comporti un rischio elevato di compromissione dei dati, almeno in una certa misura. Il malware invia informazioni sul dispositivo e sulla posizione, potenzialmente anche alcuni dati dell'utente. Tra le app non ci sono comunque giochi. "Abbiamo trovato un gestore di contatti, una che gestisce le informazioni di viaggio, un'altra che aveva accesso all'accelerometro e alla posizione, che senza autorizzazioni specifiche controllava la videocamera o il microfono ed alcune altre simili."
Da parte sua, Apple non vuole creare allarmismi: "non vi era alcun pericolo oltre la frode isolata," dice, sottolineando che "la società pattuglia l'App Store per identificare e rimuovere qualsiasi app che rappresenti un pericolo per gli utenti".
Qualsiasi server C&C rappresenta chiaramente una qualche forma di rischio, tuttavia un collegamento esterno apre quasi sempre le porte ad ulteriori minacce. "Alcune informazioni sul dispositivo e l'utente vengono utilizzate per determinare quali annunci pubblicare", ha affermato Covington. "Ma abbiamo visto i server C&C fornire altri tipi di comandi: modificare le configurazioni o attivare attacchi di phishing, fornire pagine di accesso dall'aspetto legittimo per rubare le credenziali. O per distribuire payload dannosi ad app di massa o installarne altri. Una volta aperta una connessione verso l'esterno, possono succedere molte cose spiacevoli."
In questo caso, Wandera afferma di aver visto un abbassamento delle prestazioni dei dispositivi, un consumo eccessivo della batteria, un uso intenso della banda: "un annuncio esegue un flusso video per più di cinque minuti, altri contengono immagini di grandi dimensioni". Lo stesso server C&C è stato citato da Dr. Web nell'ambito di una campagna di malware Android. Dr. Web ha riferito che il server potrebbe indirizzare gli annunci, caricare siti Web, modificare la configurazione dei dispositivi, iscrivere in maniera fraudolenta gli utenti a contenuti premium. Nessuno di questi problemi aggiuntivi è stato rivendicato per il malware iOS.
Lo sviluppatore di queste app è AppAspect Technologies, con sede in India, un operatore con app sia per iOS che per Android. Wandera afferma di aver esaminato le app Android: nessuna conteneva il modulo trojan clicker, ma una volta erano state ritirate dal negozio e il modulo rimosso, le app sono state ripubblicate. Forse l'operatore si è concentrato su iOS, dove ci si aspetta meno problemi di questo tipo rispetto ad Android? Covington pensa che questa sia una possibilità.
Apple ha confermato che le app sono state rimosse e la buona notizia è che la loro eliminazione risolve eventuali problemi, senza lasciare residui. "Non c'è nessun accesso a quadri speciali che potrebbero lasciare qualcosa di dannoso alle spalle", ha spiegato Covington.
Per Apple, alla luce delle altre sfide alla sicurezza degli ultimi mesi, tra cui un attacco mirato di WhatsApp, l'attacco di malware cinese agli Uiguri, nuove opzioni di jailbreak, questa storia risulta piuttosto imbarazzante. La rapida rimozione delle app deve essere comunque applaudita, ma il fatto che le app dannose siano entrate nel negozio ovviamente rimane una preoccupazione.
Ecco la lista delle app infette che vi consigliamo di rimuovere immediatamente, se doveste averle nel vostro dispositivo:
RTO Vehicle Information
EMI Calculator & Loan Planner
File Manager - Documents
Smart GPS Speedometer
CrickOne - Live Cricket Scores
Daily Fitness - Yoga Poses
FM Radio PRO - Internet Radio
My Train Info - IRCTC & PNR? (not listed under developer profile)
Around Me Place Finder
Easy Contacts Backup Manager
Ramadan Times 2019 Pro
Restaurant Finder - Find Food
BMI Calculator PRO - BMR Calc
Dual Accounts Pro
Video Editor - Mute Video
Islamic World PRO - Qibla
Smart Video Compressor
Fonte: forbes.com
link: https://www.fastweb.it/smartphone-e-gadget/17-app-trojan-minacciano-gli-iphone-cancellatele-subito/
Commenti
Posta un commento