Nella scena del crimine: possono gli smartphone arrivare infetti dalla fabbrica?

androidpit antivirus 2
© nextpit

Nei giorni scorsi uno studio ha dimostrato che alcuni smartphone Android sono venuti fuori dalla confezione di acquisto infetti a causa di un malware. La colpa non è di produttori o rivenditori ma il rischio per gli utenti non va sottovalutato.

Dettagli sullo studio pubblicato da CheckPoint 

CheckPoint, una società che si occupa di sicurezza in campo digitale, ha pubblicato i risultati di uno studio che ha messo in luce 38 dispositivi colpiti da spyware ed appartenenti a due diverse aziende. In entrambi i casi i malware sono stati preinstallati nei dispositivi prima della distribuzione. In altre parole, un impiegato ha installato un software malevolo sugli smartphone prima che arrivassero sul mercato.

Seguendo questa logica, il malware non era quindi parte della ROM ufficiale offerta dal produttore. In sei casi il virus è stato installato attraverso i permessi di root impossibilitandone così la rimozione con un semplice ripristino ai dati di fabbrica. Per cacciare il malware l'unica soluzione è quello di flashare la ROM officiale o reinstallare il software del produttore.

I malware sono stati trovati sui dispositivi provenienti da due grosse aziende

Chi è il responsabile dell'accaduto? 

Secondo la squadra che ha condotto le ricerche, le minacce sono state trovate sui dispositivi di due grandi aziende che purtroppo non sono state identificate. Secondo quanto riportato, si tratta di una grossa azienda di telecomunicazione e di una multinazionale che si occupa di tecnologia.

La maggior parte dei malware contenevano adware e degli strumenti volti a rubare i dati. E' stato ritrovato anche un ransomware capace di bloccare il telefono con la crittografia e di sbloccarlo solo dietro pagamento. Quest'ultimo, ovviamente, è il caso peggiore perché può essere sfruttato per ricattare gli utenti.

Adware Ransomware
E' un qualsiasi programma per computer che segue e visualizza annunci senza l'autorizzazione dell'utente.   Um tipo di malware che limita l'accesso al sistema infetto richiedendo un riscatto da pagare per rimuovere la limitazione.

Perché nel target vi sono spesso i dispositivi Android?

Essendo la piattaforma più usata al mondo Android è un facile obiettivo per il cybercrime. Per farvi un'idea, secondo il sito StatCounter che monitora il traffico web globale per metterlo a disposizione di statistiche sull'utilizzo di browser e sistemi operativi, la piattaforma di Google è sul punto di superare Windows per la percentuale di dispositivi collegati. L'ultimo rapporto della società mostra come il 37,4% dei dispositivi online utilizzino Android mentre il 38,6% si affidi a Windows.

Android è un sistema operativo sicuro

Inoltre la quantità di dispositivi che gira Android è cospicuo così come il numero di produttori.

Android os 2012 2017
OS market share nel mondo. / © StatCounter

 A ciò si aggiugne il fatto che la struttura di analisi delle applicazioni ospitate dal Play Store, realizzata da Google, ha aperto le porte agli sviluppatori malintenzionati ad aggirare il sistema perché la selezione viene eseguita dal computer.

Le versioni più datate Android poi incrementano la vulnerabilità del sistema. Google offre aggiornamenti che includono patch di sicurezza mensili ma solo per i dispositivi che girano Android 4.4. o successive:

Quando una media o alta vulnerabilità della sicurezza viene corretta su AOSP, notificheremo i partner Android dei dettagli sul problema e forniremo le patch di sicurezza per un minimo di tre versioni Android. Il team di sicuezza Android fornisce al momento le patch per le versioni 4.4 (KitKat), 5.0 (Lollipop), 5.1 (lollipop MR1) e 6.0 (Marshmallow). L'elenco delle versioni supportate cambiano con ogni nuova versione Android". Google

Non fraintendetemi, Android è un sistema sicuro. Essendo un progetto open source vi sono diversi sviluppatori che si occupano della manutenzione del sistema. La sua popolarità e la sua frammentazione però lo rendono più vulnerabile agli attacchi.

Elenco dei dispositivi infetti

Abbiamo la lista dei dispositivi recapitati infetti ai clienti. E' importante sapere che non tutti i dispositivi della lista hanno abbandonato la fabbrica già compromessi. Secondo CheckPoint alcuni di questi modelli sono stati alterati mentre raggiungevano i consumatori:

  • Asus Zenfone 2
  • Galaxy A5
  • Galaxy S7
  • Galaxy S4
  • Galaxy Note Edge
  • Galaxy Note 2
  • Galaxy Note 3
  • Galaxy Note 4
  • Galaxy Note 5
  • Galaxy Note 8.0 (vecchio tablet)
  • Galaxy Tab S2
  • Galaxy Tab 2
  • LenovoS90
  • Lenovo A850
  • LG G4
  • Oppo N3
  • OppoR7 plus
  • Vivo X6 plus
  • Xiaomi Mi 4i
  • Xiaomi Redmi
  • ZTE x500

Da notare che tre giorni dopo la pubblicazione dello studio i dispositivi Nexus sono stati rimossi dalla lista senza alcuna spiegazione. Che siano stati rimossi a causa di un'incorreta analisi? O sono stati rimossi a seguito di una richiesta di Google? Purtroppo non siamo riusciti ad avere chiarimenti a riguardo con il team di ricerca.

Spionaggio: un problema della società moderna

Il risultato di questa ricerca solleva diverse preoccupazioni circa la sicurezza dei dispositivi mobili ma l'aspetto più importante è che spionaggio ed utilizzo di tecnologie per la raccolta dei dati a fini di estorsione sono le preoccupazioni principali della società moderna.

Recentemente il sito Wikileaks ha pubblicato ciò che ha definito "la più grande perdita di documenti della storia della CIA". Secondo l'organizzazione, 8,761 dicumenti "Vault 7" contengono "centinaia di migliaia di righe di codice di programmazione" che permettono all'agenzia di spiare su smartphone iOS, Android e Windows.

Gli agenti della CIA stanno introducendo dei virus per accedere ai microfoni degli smartphone, per fare un esempio, permettendo agli hacker di accedere a migliaia di conversazioni in tutto il mondo. Inoltre con conoscenze specifiche è possibile intercettare la distribuzione di un dispositivo e corrompere il sistema fino a riuscire a controllarlo. E' già avvenuto in passato quando Xiaomi è stato accusato di inviare in Cina i dati degli utenti provenienti dagli smartphone.

Il Redmi Note cercava continuamente di connettersi ad un IP a Pechino., perfino quando il servizio cloud è stato spento. Reinstallando la nuova versione officiale di Android il problema persisteva. Xiaomi ha tuttavia negato di essere coinvolta nell'accaduto.

Lo stesso anno dei ricercatori di G Data, società tedesca di sicurezza cibernetica, ha riscontrato lo stesso problema sullo smartphone cinese Generic Star N9500​​. Il dispositivo aveva un spyware installato che rubava i dati e li inviava ad un indirizzo IP in Cina.

Come sugli smartphone Xiaomi il programma di spionaggio dello Star N9500 non poteva essere rimosso con un reset. Attraverso questa falla è stato possibile ascoltare le telefonate, accedere a email e messaggi di testo e controllare a distanza microfono e fotocamera. 

Come capire se il vostro smartphone è già infettato

La prima reazione degli utenti è chiedersi se si è nella stessa situazione. Ancora una volta ricordate che nonostante il vostro smartphone sia incluso nella lista sopra ciò non significa che la sicurezza del vostro dispositivo sia stata compromessa nel momento in cui ha lasciato la fabbrica.

Abbiamo contattato Oren Koriat del team di ricerca di CheckPoint ma non siamo riusciti ad avere ulteriori inforazioni. Tuttavia nella pubblicazione sono presenti alcuni consigli generali che potranno esservi d'aiuto:

  • Non acquistate smartphone da siti che non conoscete o che non vantano una buona reputazione tra gli utenti.
  • Prima di acquistare un telefono da un piccolo rivenditore chiedete di esaminare il dispositivo. Accendetelo, verificate la connessione WIFI, etc. Se vedete degli annunci una volta sbloccato il dispositivo non acquistatelo.
  • Mantente il dispositivo aggiornato.

Qual è la misura più efficace da prendere?

Se avete acquistato un dispositivo e vi è stato consegnato infetto, potreste non accorgervi della presenza del malware. Parlando con Nikos Chrysaidos, Head of Mobile Threat Intelligence & Security di Avast, è venuto fuori che un antivirus permette di capire se il malware è stato preinstallato:

Un antivirus è il modo migliore, ed in alcuni casi l'unico, per capire se uno smartphone è infetto con un malware. In molti casi come in questo, il malware si nasconde e agisce in background. Ciò significa, per esempio, che il padrone del dispositivo non può vederne l'icona nella lista delle applicazioni. Ciò avviene affinchè il malware possa rimanere installato il più a lungo tempo possibile e possa così raccogliere dati senza che nessuno se ne accorga.

Gli smartphone possono essere infettati di fabbrica? 

Fino a prova contraria gli smartphone non possono essre infettati di fabbrica. Tuttavia, come evidenziato da CheckPoint, il malware può essere installato prima di raggiungere il negozio. Occorre preoccuparsi? Sì, ma solo se avete acquistato il dispositivo da uno store o da un produttore non conosciuto.

Se avete il dubbio che il vostro dispositivo possa essere infetto installate un antivirus. In generale se non utilizzate market alternativi al play Store per scaricare applicazioni potrete tuttavia stare tranquilli e fare a meno di un antivirus.

Pensate che quello della sicurezza sia un grosso problema su Android?

Vai al commento (1)
Camila Rinaldi

Camila Rinaldi
Redattore Senior

Oltre 10 anni di esperienza nel collaudo di smartphone e altri gadget. Anche se di recente mi sono tuffato a capofitto nell'ecosistema Apple, Android è ancora una delle mie passioni. Sono stato caporedattore di AndroidPIT e Canaltech in Brasile, ora scrivo per il mercato statunitense. Sono (ancora) su Twitter (@apequenarinaldi)!

Guarda tutti gli articoli
Ti è piaciuto l'articolo? Per favore, condividilo!
Articolo successivo
1 Commento
Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica
Commenta la notizia:
Tutte le modifiche verranno salvate. Nessuna bozza verrà salvata durante la modifica

  • Alessandro Agostini 33
    Alessandro Agostini 18 mar 2017 Link al commento

    C'è una cosa che non capisco: il problema evidenziato dall'articolo è, evidentemente, molto datato dal momento che tra i telefoni infetti troviamo il Samsung Galaxy Note2. Allora come mai viene fuori solo ora?
    Ciò sembra dirci che i vari antivirus/antimalware/anti... (che moltissimi consumatori avranno utilizzato nel frattempo) non hanno scoperto nulla per anni e che quindi servono a ben poco.
    Dove sbaglio?