Cyber Security
SoumniBot: malware bancario sfrutta bug Android per evitare il rilevamento
Tempo di lettura: 2 minuti. SoumniBot sfrutta vulnerabilità Android per evitare rilevamento, usando tecniche di offuscamento che complicano l’analisi e il rilevamento
Un nuovo tipo di malware bancario, denominato SoumniBot, sta sfruttando vulnerabilità meno conosciute nel sistema di Android per evitare il rilevamento e perpetrare furti di informazioni. Questo malware sfrutta debolezze nella procedura di estrazione e analisi dei file manifest di Android, permettendo attacchi sofisticati e difficili da tracciare.
Tecnica di evasione di SoumniBot
SoumniBot, scoperto da Kaspersky, utilizza un approccio di obfuscation unico che manipola la compressione e la dimensione del file del manifest dell’applicazione (AndroidManifest.xml). Questo file è essenziale per ogni app Android, poiché contiene dettagli critici come componenti, permessi e dati dell’app. Il malware introduce valori di compressione non validi quando disimballa il file del manifest dell’app, che dovrebbero essere rifiutati dalla libreria ‘libziparchive’ di Android. Tuttavia, a causa di un bug, il parser di Android tratta questi dati come non compressi, permettendo al malware di bypassare i controlli di sicurezza e proseguire l’esecuzione sul dispositivo.
Altre tecniche di Evasione
In aggiunta alla manipolazione della compressione, SoumniBot usa due altre tecniche per evitare la rilevazione:
- Segnalazione Errata delle Dimensioni del File: SoumniBot segnala una dimensione del file del manifest maggiore di quella reale. Dato che il file viene considerato non compresso, viene copiato direttamente dall’archivio, con dati spazzatura che colmano la differenza.
- Stringhe Lunghe nei Nomi dei Namespace XML: Utilizza stringhe insolitamente lunghe per i nomi dei namespace XML nel file del manifest, rendendo difficile per gli strumenti di analisi automatizzati controllarli efficacemente.
Implicazioni e difesa
Le tecniche sofisticate impiegate da SoumniBot sottolineano la necessità per gli sviluppatori di app e per gli utenti di rimanere vigilanti riguardo agli aggiornamenti di sicurezza di Android e di utilizzare software antivirus affidabile. È essenziale per i team IT monitorare le attività sospette e educare gli utenti a evitare download da fonti non affidabili.
SoumniBot rappresenta una minaccia significativa per gli utenti di dispositivi Android, sfruttando le debolezze del sistema per compiere attività malevole. Questo caso evidenzia l’importanza dell’aggiornamento continuo delle misure di sicurezza e del rafforzamento delle capacità di rilevamento e risposta agli attacchi informatici.
Cyber Security
Malware Android “Wpeeper” si nasconde dietro siti WordPress compromessi
Tempo di lettura: 2 minuti. Scopri Wpeeper, un nuovo malware per Android che sfrutta siti WordPress compromessi per nascondere i suoi server C2
Un nuovo malware per Android chiamato “Wpeeper” è stato scoperto, notevole per la sua capacità di utilizzare siti WordPress compromessi come relè per i suoi veri server di comando e controllo (C2). Questo metodo serve come meccanismo di evasione per mascherare le sue vere attività.
Modalità di azione
Wpeeper è stato identificato per la prima volta il 18 aprile 2024 dal team XLab di QAX, durante l’analisi di un file ELF sconosciuto incorporato in file APK (Android package files), che al momento della scoperta non aveva rilevamenti su VirusTotal. L’attività del malware è cessata bruscamente il 22 aprile, presumibilmente come decisione strategica per mantenere un basso profilo ed evitare la rilevazione da parte di professionisti della sicurezza e sistemi automatizzati.
Struttura di comunicazione del C2
Wpeeper struttura la sua comunicazione C2 per sfruttare i siti WordPress compromessi come punti di relè intermedi, oscurando la posizione e l’identità dei suoi veri server C2. I comandi inviati dal C2 ai bot sono inoltrati tramite questi siti, e sono inoltre criptati AES e firmati con una firma a curva ellittica per impedire l’acquisizione da parte di terzi non autorizzati.
Capacità del malware
Le principali funzionalità di Wpeeper includono il furto di dati, facilitato da un ampio set di comandi con 13 funzioni distinte, come il recupero di informazioni dettagliate sull’apparecchio infetto, l’elenco delle applicazioni installate, l’aggiornamento degli indirizzi del server C2, e la capacità di scaricare ed eseguire file arbitrari.
Precauzioni raccomandate
Per evitare rischi come Wpeeper, si raccomanda di installare applicazioni solo dall’app store ufficiale di Android, Google Play, e di assicurarsi che lo strumento anti-malware integrato del sistema operativo, Play Protect, sia attivo sul dispositivo.
L’emergere di Wpeeper sottolinea l’importanza di misure di sicurezza robuste e la vigilanza continua, soprattutto considerando come gli attori di minacce continuano a trovare nuovi modi per sfruttare infrastrutture e tecnologie legittime per condurre attività maligne.
Cyber Security
Google aumenta le ricompense per Bug e Gemini 1.5 migliora l’analisi malware
Tempo di lettura: 2 minuti. Google ha aumentato le ricompense per bug critici e lanciato Gemini 1.5 Pro, un potente strumento AI per l’analisi di malware
Google ha recentemente messo in evidenza due importanti aggiornamenti nel campo della sicurezza ed ha aumentato significativamente le ricompense per la scoperta di bug e, inoltre, ha lanciato nuove funzionalità nel suo strumento di analisi malware, Gemini 1.5 Pro, che sfrutta l’intelligenza artificiale per migliorare l’efficacia delle analisi.
Incremento delle Ricompense per Bug
Google ha deciso di aumentare fino a dieci volte le ricompense per la segnalazione di vulnerabilità di esecuzione remota di codice (RCE) all’interno di alcune app Android. Le ricompense ora variano da $30,000 a $300,000, con la possibilità di raggiungere i $450,000 per segnalazioni di qualità eccezionale.
Categoria | Senza Interazione Utente/Remoto | Tramite clic su link | Tramite app malevola/con configurazione non predefinita | Attaccante sulla stessa rete |
---|---|---|---|---|
Esecuzione di Codice | $300,000 | $150,000 | $15,000 | $9,000 |
Furto di Dati | $75,000 | $37,500 | $9,000 | $6,000 |
Altre Vulnerabilità | $24,000 | $9,000 | $4,500 | $2,400 |
Le app di livello 1, incluse Google Play Services, l’app Google Search per Android (AGSA), Google Cloud e Gmail, sono le principali beneficiarie di questo incremento. L’obiettivo è incentivare la scoperta e la segnalazione di bug critici che potrebbero portare al furto di dati sensibili.
Gemini 1.5 Pro per l’analisi di Malware
Parallelamente, Google ha introdotto Gemini 1.5 Pro, una versione avanzata del suo strumento per l’analisi di malware che migliora notevolmente le capacità di analisi grazie all’intelligenza artificiale. Gemini 1.5 Pro è in grado di processare prompt fino a 1 milione di token, permettendo un’analisi dettagliata di file di codice complessi che superano le capacità dei modelli linguistici di grande dimensione precedenti. Questo strumento non solo identifica il codice maligno, ma genera anche rapporti riassuntivi in linguaggio umano, offrendo un’analisi approfondita che include le funzionalità del malware, il comportamento e le potenziali vettore di attacco.
Implicazioni e prospettive future
L’incremento delle ricompense per bug riflette l’impegno di Google nel mantenere i suoi servizi sicuri per tutti gli utenti, cercando di attrarre più esperti di sicurezza a contribuire alla scoperta di vulnerabilità. D’altra parte, l’introduzione di Gemini 1.5 Pro dimostra come l’intelligenza artificiale possa essere sfruttata per migliorare le capacità di analisi del malware, rendendo il processo più efficace ed efficiente. Entrambe le iniziative indicano una direzione chiara verso un rafforzamento della sicurezza, essenziale in un’era dove le minacce informatiche sono in costante evoluzione.
Con questi sviluppi, Google non solo rafforza la propria posizione come leader nella sicurezza informatica, ma fornisce anche strumenti preziosi e incentivi che potrebbero avere un impatto significativo sulla sicurezza globale delle app e dei servizi online. L’aumento delle ricompense per la segnalazione di bug e le innovazioni in Gemini 1.5 Pro sono passi avanti strategici per anticipare e neutralizzare le minacce in un ambiente digitale sempre più complesso.
Cyber Security
Google blocca, 28 milioni di applicazioni dannose nel 2023
Tempo di lettura: 2 minuti. Nel 2023, Google ha impedito la pubblicazione di 2,28 milioni di app dannose su Google Play, rafforzando la sicurezza e proteggendo gli utenti da malware e violazioni della privacy.
Google ha annunciato importanti successi nella lotta contro le applicazioni dannose su Google Play e, nel 2023, ha impedito la pubblicazione di 2,28 milioni di app che violavano le sue politiche, dimostrando un impegno significativo nel rafforzare la sicurezza del suo store di applicazioni.
Dettagli del Successo di Google
Durante l’anno, Google ha respinto quasi 200.000 proposte di app su Play Store o ha richiesto modifiche per risolvere problemi legati all’accesso a dati sensibili come la posizione o i messaggi SMS. Inoltre, ha bloccato 333.000 account “cattivi” che tentavano di distribuire malware o che commettevano violazioni ripetute delle politiche.
Miglioramenti alla Sicurezza
Steve Kafka, Khawaja Shams e Mohet Saxena di Google hanno evidenziato l’investimento dell’azienda in nuove funzionalità di sicurezza, aggiornamenti delle politiche e processi avanzati di revisione delle app basati su apprendimento automatico. Questo ha contribuito notevolamente a prevenire la pubblicazione di app che violano le politiche.
Partnership per la Privacy dei Dati
Google ha anche collaborato con i fornitori di SDK per limitare l’accesso e la condivisione dei dati sensibili, migliorando la postura di privacy per oltre 31 SDK che impattano più di 790.000 app.
Confronto con l’Anno Precedente
Nel 2022, Google aveva impedito la pubblicazione di 1,43 milioni di app dannose e bandito 173.000 account problematici, mostrando un aumento significativo nell’efficacia delle sue misure di sicurezza nel 2023.
Iniziative di sicurezza supplementari
La compagnia ha anche rafforzato i processi di onboarding e revisione per gli sviluppatori, richiedendo più informazioni identificative e un processo di verifica all’atto della configurazione dei loro account Play Console. Questo permette a Google di comprendere meglio la comunità degli sviluppatori e di eliminare gli attori malintenzionati che cercano di propagare app maligne.
Misure aggiuntive di Protezione
Google ha intrapreso una serie di passi per proteggere l’ecosistema Android, incluso il trasferimento dell’App Defense Alliance sotto l’ombrello della Linux Foundation e il lancio di una “badge di revisione di sicurezza indipendente” nel Play Store per le app VPN che hanno superato un audit di Mobile Application Security Assessment.
Gli sforzi di Google nel 2023 per combattere le app dannose hanno portato a risultati impressionanti, evidenziando il suo impegno continuo nella protezione degli utenti e nella promozione di un ambiente digitale più sicuro.
- Notizie2 settimane fa
Kapeka: nuova backdoor di Sandworm per l’Est Europa
- Cyber Security2 settimane fa
Fortinet: vulnerabilità FortiClient EMS minaccia le aziende media
- Editoriali2 settimane fa
Università, Israele e licenziamenti BigTech
- Robotica2 settimane fa
Atlas di Boston Dynamics non è morto
- Editoriali2 settimane fa
MITRE vittima di zero day Ivanti: anche i migliori le prendono
- L'Altra Bolla2 settimane fa
TikTok Notes: novità sulla prossima App concorrente di Instagram
- L'Altra Bolla2 settimane fa
LinkedIn: Pagine Aziendali Premium con Intelligenza Artificiale
- Inchieste1 settimana fa
Mercato ITC in Italia nel 2024: numeri e crescita vertiginosa rispetto al paese