Malware preinstallato sui dispositivi Android: la denuncia di Sophos

• Antimalware

Giusto ieri parlavamo di supply chain ovvero della catena di distribuzione che qualunque prodotto segue dal produttore sino all’acquirente o utente finale.
Nel caso del “chip spione” proveniente da terra cinese ci sono tanti dubbi e poche conferme (Un chip cinese usato per spiare le aziende USA più importanti: scoop o fake?) ma Sophos parla di un problema che sta diventando piuttosto comune sui dispositivi Android a basso costo.

Sui dispositivi mobili di alcuni produttori che realizzando per esempio smartphone Android economici sarebbero talvolta preinstallate applicazioni malevole, progettate con il preciso scopo di monitorare l’attività degli utenti e sottrarre informazioni personali.

Secondo Sophos in un qualche punto della catena distributiva qualche malintenzionato avrebbe modificato la ROM presente sul dispositivo Android caricandone un’altra contenente applicazioni malevole.

La società inglese, specializzata dal 1985 sulla progettazione e sulla produzione di soluzioni per la sicurezza informatica, cita l’esempio di un utente che a dicembre 2017 aveva acquistato uno smartphone su uno dei più famosi store online, un Ulefone S8 Pro.
L’utente segnalava continui “campanelli d’allarme” da parte della soluzione di sicurezza utilizzata all’interno della propria azienda durante l’utilizzo dello smartphone Ulefone.

Come spiegano i tecnici di Sophos nella loro analisi, gli esperti della società hanno quindi voluto verificare le asserzioni dell’utente e hanno acquistato in proprio lo stesso modello di dispositivo mobile.

Risultato? Sophos ha scoperto che la ROM usata sugli Ulefone S8 Pro venduti in quel periodo conteneva un’applicazione che poteva sembrare assolutamente legittima: Sound Recorder.
In realtà tale applicazione era una versione modificata del Sound Recorder originale che conteneva un trojan capace di raccogliere informazioni sul dispositivo, sul suo utilizzo e sull’utente.
Ancor più grave il fatto che la versione alterata di Sound Recorder poteva comportarsi come un software RAT (remote administration tool) ovvero inviare SMS in proprio e ricevere in risposta comandi sulle operazioni da eseguire sullo smartphone dell’utente.

Sophos ipotizza che il problema legato alla modifica della ROM sul dispositivo di Ulefone si possa essere verificato lungo la catena distributiva ma invita gli utenti a mantenere elevato il livello di allerta, senza dare nulla per scontato.
L’azienda precisa che gli antimalware di Sophos erano in grado di riconoscere il problema legato alla presenza della versione malevola dell’app Sound Recorder fin dal “giorno zero”.

A questo punto, ancora prima di collegare un nuovo dispositivo Android alle proprie reti (quella di casa, quella dell’ufficio o dell’azienda,…) diventa opportuno effettuare una scansione del suo contenuto.

Vi suggeriamo, a questo proposito, la lettura del nostro approfondimento I migliori antivirus gratis per Android.

Nel caso in cui si decidesse di installare Sophos Mobile Security, suggeriamo di attivare la scansione periodica del dispositivo Android (magari quando questo si trovasse in carica) e spuntare la casella Scansione delle app di sistema nelle impostazioni.

Seguendo le indicazioni riportate nell’articolo App Android pericolose per la sicurezza e la privacy suggeriamo di verificare attentamente i permessi associati alle varie app presenti sul dispositivo.

Infine, come suggerito da Sophos, il consiglio è quello di orientarsi sempre sui prodotti commercializzati da aziende che hanno ricevuto la certificazione Google (vedere questa pagina) anche se un problema sulla supply chain potrebbe comunque interessare anche nomi più blasonati, come evidenziò Avast a maggio 2018.