Android: un malware ruba-dati

L'allarme è firmato John Hering e Kevin MaHaffey, rispettivamente CEO e CTO di Lookout, società operante nel campo della sicurezza mobile, e coinvolge da vicino Android: l'applicazione incriminata è infatti destinata ai terminali basati sul sistema operativo targato Google, ed è stata scaricata dall'Android Market tra le 1,1 e le 4,6 milioni di volte, stando alle prime cifre diffuse. Il software proviene da Jackeey Wallpaper, e le informazioni rubate agli ignari sventurati sono inviate al sito www.imnet.us, che risulta essere di proprietà di una persona non meglio identificata residente a Shenzhen, in Cina.

Apparentemente sembrano semplici ed innocui wallpaper, rappresentanti scene di panorami, sport, e altri largamente diffusi tra i terminali mobile di migliaia di persone. In realtà nascondo un'insidia ben maggiore: raccolgono dati sensibili da SIM e smartphone, e li inviano all'insaputa dell'utente ad un server cinese. L'ennesima minaccia proveniente dal mondo dei contenuti multimediali per cellulari proviene dalla conferenza Black Hat e le cifre in questione sono considerevoli.

I ricercatori di Lookout sono riusciti a far emergere il malware in questione grazie al progetto App Genome, realizzato proprio dalla compagnia che ha sede a San Francisco, e che mira al miglioramento della sicurezza dei dispositivi mobile, analizzando con attenzione le applicazioni installate e segnalando all'utente quelle che risultano essere sospette.

Security Tube

Security Tube è un sito stile YouTube che raccoglie tutti i video dedicati alla sicurezza informatica e non solo...

Ptunnel VS Tippingpoint

Ptunnel è un applicazione che permette di instaurare connessioni TCP verso un host remoto utilizzando il protocollo ICMP come protocollo sottostante, ed aggirare di conseguenza le limitazioni sui vari firewall. Infatti tramite questo tool è possibile instaurare ad es. una connesione SSH o HTTP attraverso un firewall che blocca questi protocolli ma permette ad es. gli ICMP echo request e reply (ping requests/replies).


In questo doc prima utilizzeremo il tool per instaurare una connessione HTTP tramite un host remoto utilizzando l’icmp come protocollo di comunicazione. Successivamente proveremo prima a fare il detect con l’IPS Tippingpoint verificando che passa tranquillamente attraverso il firewall ma viene riconosciuta dall’IPS, poi il blocco di tale applicazione tramite l’IPS.

Sulla macchina che confideremo come server lanceremo l’applicazione mettendo in ascolto sulla scheda di rete (necessario winpcap)

SERVER - start server:

Info: Use the -c option (enable WinPcap on the given device) else the proxy will NOT work
For Windows use the -h option (ptunnel.exe -h) to view all Windows WinPcap Devices.
Sulla quello che sarà il client dietro il firewall (ossia quello non autorizzato a uscire in http ma solo col ping) facciamo partire l’applicazione specificando l’ip del server, la porta locale su cui sta in ascolto il client e l’indirizzo e porta target che vorremmo raggiungere tramite il nostro server
CLIENT - start ptunnel client with root privilege:

In un altra finestra possiamo usare un telnet per collegarci a un sito web e verificare che riusciamo a navigare tramite l’host remoto


Microsoft Telnet> set localecho
Microsoft Telnet> open localhost 80
[invio]
GET http://www.whatismyip.com/automation/n09230945.asp HTTP/1.0
2 volte [invio]

Ricontrollando nella finestra da cui abbiamo lanciato il nostro client vediamo che il tool ha cominciato a inoltrare pacchetti

E anche sul server si vedono i dettagli dello scambio di pacchetti ICMP

Proviamo ora a bloccare questo tipo di applicativo tramite IPS, andando nei protection profiles e cercando come filtro tunnel e come protocollo icmp

A questo punto rilanciamo client e server e proviamo col nostro telnet Il telnet non risponde

Sul client vediamo la perdita della connessione

E anche sul server

Nella console dell’IPS vediamo il traffico riguardante il tunnel ICMP bloccato