Sembra proprio che molti fornitori di firmware per smartphone abbiano infettato milioni di modelli Android con malware pre-installato prima ancora che i dispositivi venissero spediti dalle loro fabbriche, secondo i ricercatori Trend Micro di Black Hat Asia.
Questo tipo di attacco è principalmente indirizzato ai dispositivi mobili Android, sebbene vi siano coinvolti smartwatch, TV e altri gadget coinvolte.
Malware pre-installati derivanti dai fornitori di firmware
Forse non tutti sanno che alcune aziende hanno una produzione esternalizzata a un produttore di apparecchiature originali (OEM). In altre parole, gli OEM realizzano degli smartphone che poi vengono rimarchiati dalle aziende.
Tale outsourcing consente a qualcuno nella pipeline di produzione, ad esempio un fornitore di firmware, di infettare i prodotti con malware o, in generale, con codice dannoso mentre vengono spediti, hanno affermato i ricercatori.
I ricercatori di Trend Micro ha definito la minaccia odierna come “un problema crescente per gli utenti regolari e le imprese“. Quindi, considera questo un promemoria e un avvertimento tutto in uno.
“Un tipo di plug-in, i plug-in proxy, consente ai malintenzionati di noleggiare dispositivi per un massimo di circa cinque minuti alla volta. Ad esempio, coloro che noleggiano il controllo del dispositivo potrebbero acquisire dati su sequenze di tasti (keylogging), posizione geografica, indirizzo IP e altro“
“Qual è il modo più semplice per infettare milioni di dispositivi?” si è chiesto il ricercatore senior di Trend Micro, Fyodor Yarochkin, parlando insieme al collega Zhengyu Dong alla conferenza di Singapore. Yarochkin ha paragonato i dispositivi infettati a un albero attaccato da una malattia: metti l’infezione alla radice e si distribuisce ovunque, fino a ogni singolo ramo e foglia.
Non ci sono cose gratis
“Ma ovviamente non ci sono cose gratis“, ha detto Yarochkin, che ha spiegato che, come risultato della concorrenza spietata venutasi a creare fra i fornitori del firmware che ha costretto ad abbassare i prezzi, il firmware ha iniziato a venire con una caratteristica indesiderabile: plugin silenziosi. Il team ha analizzato dozzine di immagini del firmware alla ricerca di malware e hanno trovato oltre 80 plugin diversi, anche se molti di questi non erano ampiamente distribuiti.
Il team ha confermato che il malware è stato trovato nei telefoni di almeno 10 fornitori, ma che probabilmente ce ne sono stati altri 40 colpiti. Per coloro che cercano di evitare questa situazione, potrebbero proteggersi in qualche modo andando nella fascia alta. Vale a dire, troverai questo tipo di firmware con malware pre-installato nella parte più economica dell’ecosistema Android e attenersi a marchi più grandi è una buona idea anche se non necessariamente una garanzia di sicurezza.
Purtroppo non sappiamo quali brand di smartphone sono coinvolti in questa pratica ma i ricercatori hanno indicato che il bacino di modelli coinvolti è di circa 3 milioni unità.