L'ANALISI TECNICA

App Android per il tracciamento del Covid-19, allarme malware: tutti i dettagli

I criminal hacker sono riusciti a modificare alcune app Android di contact tracing per il tracciamento del Covid-19 inserendo una backdoor per il controllo remoto dei dispositivi compromessi. A rischio anche gli utenti italiani. Ecco tutti i dettagli

08 Apr 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Sono state individuate alcune app Android per il tracciamento del Covid-19 che i criminal hacker sono riusciti a contraffare con una backdoor utile a controllare da remoto i dispositivi su cui vengono installate.

Mentre la pandemia di coronavirus incalza in tutto il mondo, la comprensibile paura di massa continua dunque ad offrire ai criminal hacker una preziosa opportunità da sfruttare, come testimoniato anche dal costante aumento di attacchi cyber, phishing e malspam a tema.

Ora ciò che si sta prospettando, soprattutto per quei paesi come l’Italia che si accingono a pianificare la gestione di una fase di lockdown ridotto, che consenta una lenta ripresa delle attività sociali, lavorative ed economiche in regime di contenimento/convivenza della propagazione del coronavirus, è la questione sulla tutela della privacy e della cyber security delle soluzioni tecnologiche per il contact tracing, deputate al tracciamento individuale e che insieme alle operazioni di test clinici e alla quarantena dovrebbero contribuire al successo nella lotta contro la pandemia.

I governi di tutto il mondo stanno approntando delle soluzioni basate sull’adozione di app mobile. In particolare, nel nostro Paese, in attesa di una linea guida nazionale, le regioni al momento si stanno dotando autonomamente di app e strumenti in tal senso.

È proprio in questo scenario incerto in cui le proposte che si susseguono risultano diversificate e vaghe, che i criminal hacker possono insinuarsi e la recente ricerca Zerofox, purtroppo, ne dà conferma.

La ricerca fornisce un’analisi tecnica di tre tipologie di applicazioni mobili su piattaforma Android correlate a Covid-19 e apparse in campagne di diffusione che stanno interessando Iran, Colombia e Italia. In particolare per l’Italia la campagna rilevata starebbe diffondendo un’app contraffatta con una backdoor.

App Android per il tracciamento del Covid-19: allarme in Italia

In totale, è stata individuata una dozzina di file .APK relativi a questa campagna. Si tratta di app (per monitoraggio sintomi, uso Bluetooth per il rilevamento delle persone infette e informative sulla salute personale) che, rilasciate in beta test, sono state ricompilate con una backdoor e rimesse in circolo.

Dall’analisi condotta emerge un particolare curioso che in prima istanza ha attirato l’attenzione dei ricercatori. Nonostante il servizio offerto fosse destinato a cittadini italiani, il certificato di firma presente in tutti i campioni analizzati presenta una caratteristica comune: il firmatario risulta “Raven” con sede a Baltimora (città anche sede della stessa azienda di ricerca ZeroFox), probabilmente un riferimento al Team Ravens di Baltimora che gareggia nella National Football League.

WHITEPAPER
Chief operating officer: come bilanciare sicurezza informatica e responsabilità operative
Sicurezza
Cybersecurity

Il campione esaminato dall’Alpha Team di Zerofox (e identificato con hash 7b8794ce2ff64a669d84f6157109b92f5ad17ac47dd330132a8e5de54d5d1afc) risulta rilasciato dal package “it.softmining.]projects.covid19.]savelifestyle.]apzcp” comune a 9 dei 12 campioni esaminati. Ecco i passi di esecuzione principali una volta che l’app è stata installata nel dispositivo dell’ignara vittima:

  • All’avvio del telefono o all’apertura dell’app la backdoor attende un comando BOOT_COMPLETED per attivarsi e invocare il metodo di esecuzione start().
  • Dall’analisi del codice main() della backdoor si evince che l’implementazione invoca il metodo start() solo dopo aver:
  1. richiamato un oggetto che incorpora il payload (decrittografato) per la consegna dell’URL del server di comando e controllo (95[.239[.79.156[:] 24079 oppure 87[.19[.73.8[:] 24079) con una serie di funzionalità aggiuntive (come la funzione wakelocking del dispositivo usata per “risvegliarlo” da uno stato di stand-by);
  2. eseguito ulteriori operazioni di preconfigurazione.

Conclusione

Questo nuovo scenario di tendenza nel voler impiegare app mobili Covid-19 sponsorizzate da governi e amministrazioni locali come strumenti di ulteriore supporto alla lotta contro il coronavirus apre delle nuove frontiere sfruttabili dal cybercrime.

Qualora queste applicazioni non venissero adeguatamente controllate e distribuite, il rischio di esporre i cittadini a situazioni che minano l’integrità della loro privacy e la sicurezza informatica dei loro dispostivi è molto alto.

Non è infatti una novità, come già accaduto in altre circostanze, che il download non ufficiale e senza un serio processo di verifica renda possibile una diffusione di applicazioni spyware illecite consentendo agli sviluppatori criminali un accesso arbitrario a dati sensibili.

Una modalità imprecisa e confusa nel comunicare le giuste informazioni e la contemporanea necessità impellente di sviluppare app utili in questo momento di crisi, sono tutti elementi da considerare, rivedere e correggere.

Ognuno deve dare il proprio contributo costruttivo:

  • gli sviluppatori applicando durante il processo di sviluppo del software i principi di security by design e privacy by design;
  • gli utenti affidandosi agli store e fonti ufficiali;
  • i governi fornendo chiare informazioni e garantendo con adeguate disposizioni il rispetto di tutte le norme di revisione, controllo e distribuzione.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4