Cybersecurity & Privacy

Cosa si può fare con uno Spyware per Android

Scritto da Cristiano Pastorello | Mar 23, 2017 11:00:00 PM

Nel mondo del Cybercrime accade spesso che un “Malware” viene definito come tale non per la natura della sua funzione ma per l’utilizzo che se ne fa. Prendiamo per esempio Crptolocker, sappiamo tutti che si occupa di cifrare i dati ma se ci pensiamo bene la cifratura nasce come strumento di sicurezza, per fare in modo che persone non autorizzate non possano leggere i nostri files.

Solo dopo la cifratura è diventata arma di riscatto e utilizzata, per così dire, al contrario rispetto la sua natura, invece di essere gli altri a non poter leggere i nostri dati, siamo noi, i proprietari e per farlo dobbiamo pure pagare.

Per gli Spyware è lo stesso, come il Ransomware ha assunto questo nome per il concetto del riscatto, lo Spyware lo ha assunto per quello dello spionaggio non autorizzato, ma anche questi software nascono per un utilizzo diverso, in primo luogo caratterizzato alla consapevolezza di portare in tasca uno smartphone (altamente) monitorato, qualunque sia il motivo.

Possiamo quindi definire “Spyware” un’app di monitoraggio che viene installata ad esempio su uno smartphone all’ insaputa del proprietario.

Tramite la connettività invia continuamente all’esterno tutta una serie di informazioni che saranno a disposizione del regista e dell’utilizzo che ne vuole fare.

Sugli Spyware io mi sono chiesto:

  • Perché lo fanno?
  • Come ci riescono?
  • Quali informazioni raccolgono e perché?

Un attacco spyware può essere un’azione mirata ad una persona specifica piuttosto che a largo raggio, ciò che le differenzia è chiaramente lo scopo.

Nel primo caso chi attacca ha bisogno di ottenere o verificare delle informazioni che riguardano l’individuo che usa quel dispositivo o che si ritiene di poter ottenere attraverso di esso. Si definisce mirato perché si cerca qualcosa di più o meno preciso dove si sa che è possibile trovarlo.

Ne sono un esempio gli spionaggi industriali e i dati riguardanti grossi appalti e trattative, nelle quali per esempio la conoscenza del prezzo del concorrente e le condizioni di vendita possono porti in una situazione di vantaggio. Un altro esempio tra i più ricorrenti riguardano aspetti matrimoniali e cause di divorzio caratterizzate da particolari aspetti economici o legali.

Gli attacchi a largo raggio invece si prefiggono di raccogliere indistintamente quante più informazioni possibile su tutti coloro che vengono infettati alla ricerca di qualsiasi informazione utile per ottenere un beneficio.

Per esempio intercettare la navigazione Web sull’ home banking e quindi l’accesso o l’utilizzo delle credenziali della carta di credito, ma anche altri dati che possono essere utili ai fini di estorsione, ricatto o furto di identità.

A seconda che l’attacco sia mirato o largo raggio può anche variare la tecnica utilizzata per provocare l’installazione dell’app sullo smarphone o sul tablet, da questo punto di vista esistono sostanzialmente due famiglie di metodi.

Il primo è quello caratterizzato dall’ avere accesso diretto al dispositivo, in altre parole fare in modo di poterlo usare per non più di 5 minuti al fine installare manualmente lo spyware.

Infatti per il cybercrime è più utile spiare il dispositivo che rubarlo, proprio perché permette di carpire anche le informazioni future.

Questo esempio si riferisce a casi ovviamente mirati, veri e propri “teatrini” attuati per poter finalizzare l’infezione, come provocare lo smarrimento e il ritrovamento del dispositivo o distrarre il proprietario, tutte azioni che prevedono un intervento diretto e personale del criminale.

Poi a prescindere da tentativi mirati o largo raggio ci sono i metodi di infezione da remoto, tramite Internet, che permettono di agire restando nascosti, forse sono questi che vi interessano di più giusto?

Come si fa ad installare uno spyware per Android a distanza?

Prima di tutto dovete sapere che il root del dispositivo non è necessario per completare questo passaggio ma permette di avere un controllo più approfondito rispetto uno senza root.

Le tecniche per installare l’apk con tutti i permessi necessari passano ancora una volta attraverso il phishing, il social engineering e la navigazione Web.

Analogamente a come avviene per i Ransomware si spinge la vittima ad installare un’app e a prima vista gli ostacoli sembrano essere 2, ovvero convincerla:

  • Ad avviare l’installazione
  • A concedere tutti i permessi richiesti

Dobbiamo ammettere che sono poche le persone che controllano se i permessi richiesti da un’app sono quelli strettamente necessari alla sua funzione, inoltre se la vittima avvia l’installazione significa che la strategia del social engineering è già andata a buon fine, per questo non avvertirà nemmeno la necessità di verificarli.

Questi modelli di Phishing sono più complessi da realizzare perché una “fiducia” di questo tipo la si concede ad una persona conosciuta oppure solo dopo che si è entrati nelle grazie della vittima.

Ecco che spesso viene usato lo spoofing o vere e proprie caselle violate per scrivere a nome di un amico, collega, parente ecc che ti consiglia l’utilizzo una stupenda app che devi assolutamente provare.

E il gioco è fatto, poi quando vedi che non succede nulla e non trovi nuove icone è troppo tardi.

Le informazioni che è possibile carpire variano in base alla completezza dello Spyware ma ancora prima dallo scopo dell’attacco. Più è essenziale e più veloce sarà l’installazione e la sua esecuzione leggera.

Ecco cosa è possibile carpire:

  • Rubrica telefonica e email
  • SMS ricevuti
  • Contenuto della casella di posta
  • Storico delle chat (es. What’s Up)
  • Registrazioni audio
  • Registrazioni video
  • Immagini da fotocamera
  • Tutto ciò che viene digitato
  • Ogni file presente in memoria

Inoltre è possibile avviare interazioni quali:

  • telefonate
  • SMS
  • chat
  • mail

Questo dovrebbe farci riflettere su come una violazione di uno smartphone oggi possa essere potenzialmente più grave e pericolosa di quella di un PC, perché oltre a tutto il resto consente di “sostituirsi” alla persona e di agire a suo nome.

Queste funzionalità oggi sono categorizzate come “maligne” e gli antivirus per Android sono istruiti per identificarle. Ricordiamo che non esistono i “Virus” per Android, esistono le PUA (Potentially Unwanted Applications).

Dai un’occhiata a questo fac-simile di Security Check Up, è pieno di esempi di minacce in circolazione tra cui le PUA, non ti piacerebbe averlo con i dati sulla tua rete?