Nelle ultime ore sono apparsi nella rete 2 nuovi Trojan Horse creati al fine di colpire il sistema operativo per Smartphone “AndroidOS”.

AndroidOS.FakePlayer.a

Questo malware si presenta come applicazione per la lettura di file multimediali. Qualora l’utente proceda con l’installazione, al termine dell’operazione di setup verrà posizionata un’icona simile a quella impiegata da “Windows Media Player”, nell’area “applicativi” del sistema.

La possibilità da parte del codice maligno, nell’invio di SMS a numeri con prefisso a sovrapprezzo, viene concessa in fase d’installazione, come di norma accade durante ogni richiesta di setup di un software.

(esempio di schermata permessi Android-app)

La richiesta dei permessi d’azione proposta durante il setup dovrebbe destare sospetti all’utente, in quanto implicano la possibilità di modifica e rimozione del contenuto della SD card, l’invio di SMS e la lettura delle informazioni di base del cellulare (oltre al PhoneID), tutti dati alquanto estranei agli scopi di un semplice lettore di file multimediali. Infatti, una buona pratica di sicurezza anti-malware in questi casi si basa sull’analisi comparativa e logica dell’attinenza delle richieste di privilegio proposte dai software, rispetto alle loro funzioni citate ufficialmente. Tale prassi è utile anche al fine d’identificare ipotetiche funzionalità spia, causa di fuga d’informazioni particolarmente sensibili considerando gli ambiti di utilizzo degli Smartphone (es. credenziali per l’Online-Banking, log della cronologia delle telefonate ed intercettazione durante la loro esecuzione, dump degli SMS inviati e ricevuti, rubrica e dati annessi ai contatti registrati in essa, tra cui quelli impiegati per la localizzazione dei loro SP ecc.).

Una volta avviato, il malware visualizza dei messaggi scritti in cirillico:

e tenta d’inviare dei messaggi ai numeri a sovrapprezzo (i quali comportano un addebito di 5$ per ogni SMS inviato):

• 3353
• 3354

inserendo in questi il seguente testo: 798657

L’attività d’invio avviene senza alcuna interazione con l’utente.

Il Trojan NON risulta essere diffuso via Android MarketPlace (al momento).

AndroidOS.Tapsnake

Questo malware sopraggiunge incluso in una game-app denominata “Tap Snake”, presente nell’Android Market.
L’attività maligna operata dal codice si basa sulla diffusione delle coordinate GPS del dispositivo infetto su Internet (con aggiornamenti ogni 15 minuti), qualora l’utente provveda nell’inserimento delle informazioni di registrazione (voce reperibile nel Menù interno dell’App).

Dall’analisi del codice è risultato che il malware in esecuzione funge da “server” permettendo, al detentore del corrispettivo “client”, il tracking della locazione del dispositivo compromesso, funzionalità potenzialmente sfruttabile in operazioni illecite quali Stalking o al fine d’identificare se la vittima è presente in una determinata zona (es. nella propria abitazione o lontano da essa), facilitando furti, rapine e rapimenti.