Uno dei principali problemi di sicurezza informatica affrontati dalle aziende che utilizzano dispositivi Android è il rischio proveniente dai malware di rooting.
Una volta installate, alcune famiglie di malware tentano di ottenere l’accesso al root perché sono gli elevati privilegi acquisiti consentono di eseguire attività dannose.
Tuttavia, esiste un modo per rilevare il rooting e proteggere organizzazione e utenti da attacchi pericolosi contro Android.
Si tratta della tecnologia Rasp (Runtime Application Self-Protection) e ce la spiega Frederik Mennes, Market & Security Strategy Manager di Vasco Data Security.
Vediamo quindi come due comuni famiglie di malware Android, Tordow v2.0 e Pegasus (o Chrysaor), effettuano il root dei dispositivi mobile e come la tecnologia RASP può essere d’aiuto e ci aiutiamo con esempi forniti dal Vasco Security Competence Center.
Tordow v2.0 e Pegasus
La famiglia di malware Tordow v2.0 è stata scoperta alla fine del 2016 ed è un tipo di trojan di Android che cerca di sottrarre denaro all’utente del dispositivo infetto rubando credenziali bancarie, trasferendo denaro tramite SMS e utilizzando le sue capacità di ransomware. Sull’altro fronte, Pegasus per Android è uno spyware invisibile progettato per monitorare obiettivi sottoposti a sorveglianza e si ritiene che sia stato sviluppato da NSO Group, un fornitore di servizi di intercettazioni legali.
Pegasus può essere utilizzato per controllare da remoto un dispositivo tramite SMS, per recuperare dati provenienti da comuni app di comunicazione e social media, per catturare audio e immagini utilizzando il microfono e la fotocamera del dispositivo, per catturare screenshot e altro ancora. Questo spyware è così furtivo che si è riuscito a trovare e analizzare alcuni suoi esemplari solo attraverso uno sforzo congiunto dei security team di Lookout e Google.
Entrambe le famiglie malware hanno la capacità di effettuare il root del dispositivo che infettano, consentendo agli utenti di dispositivi o applicazioni di ottenere un controllo privilegiato o un accesso al root su sottosistemi Android.
Poiché Android utilizza il kernel Linux, effettuare il root di un dispositivo Android fornisce un accesso alle autorizzazioni amministrative come su Linux o su qualsiasi altro sistema operativo simile a Unix. I diritti di amministrazione consentono ai malware di eseguire un’ampia gamma di azioni nefaste, ad esempio accedere ai dati di altre app, registrare i dati immessi sulla tastiera o leggere i messaggi SMS.
La reverse-engineering effettuata su alcuni esemplari di queste famiglie di malware dimostra che si basano sugli exploit racchiusi in Framaroot per cercare di effettuare il root. Framaroot, che si presenta come un’applicazione one-clic per effettuare il root di alcuni dispositivi, fa esattamente ciò che dichiara e funziona per una vasta gamma di dispositivi con versioni del sistema operativo Android da 2 a 4. In pratica, Framaroot è utilizzato dalla maggior parte delle famiglie malware per eseguire il rooting.
Alcuni esemplari di Tordow v2.0 contengono effettivamente il framework Framaroot. Anche Pegasus utilizza Framaroot.
Ora, cosa succede dopo che uno degli exploit di Framaroot è stato correttamente eseguito su un dispositivo? Per facilitare successivi accessi al root da parte del malware, un SU binary viene scritto in una directory dalla quale più tardi può essere eseguito. Nel nostro contesto, un SU binary viene utilizzato per eseguire comandi con privilegi super user.
Nel caso di Pegasus, il SU binary viene a trovarsi in una posizione insolita nel file system, che concede al malware l’esclusività dell’accesso al root e presumibilmente garantisce che rimanga nascosto.
Proteggersi contro i malware con Rasp
Per proteggere i dispositivi mobile contro i malware di rooting, le organizzazioni dovrebbero concentrarsi sul livello dell’applicazione. Un modo fondamentale per farlo è con la tecnologia Rasp (Runtime Application Self-Protection), che protegge le applicazioni in quanto vengono eseguite con meccanismi di sicurezza quali protezione dell’integrità, prevenzione del debug, root detection e altro ancora.
La tecnologia Rasp offre funzioni avanzate di root detection per rilevare la presenza di binari come quelli di Tordow v2.0 e Pegasus.
Dalla sua posizione all’interno dell’applicazione, la tecnologia Rasp comprende i flussi di dati e la logica di funzionamento dell’app e controlla e analizza costantemente l’esecuzione delle applicazioni in background. Ciò significa anche che la tecnologia RASP sa quando l’applicazione è in pericolo.
Se un utente esegue un’applicazione protetta con la Rasp su un dispositivo che in un primo momento non è stato sottoposto a root, ma che lo diventa successivamente attraverso un’infezione da malware, la Rasp provvederà a proteggere l’applicazione e l’utente. Ad esempio, la RASP potrebbe informare l’utente tramite un messaggio di avvertimento, allertare il team di IT security interno o terminare l’applicazione.
Gli attacchi di malware contro i dispositivi Android evidenziano la necessità di una tecnologia come la RASP che fornisce un sistema di protezione unico contro i malware di rooting.
È importante che le funzionalità di rilevamento e prevenzione del rooting della tecnologia Rasp siano continuamente aggiornate e testate. Ciò è essenziale per assicurarsi che la Rasp rimanga un passo avanti ai malware di rooting più avanzati.
