Blog AVG Signal Protezione Suggerimenti Il malware ti spia anche quando il cellulare è spento
Malware_Is_Still_Spying_On_You_Even_When_Your_Mobile_Is_Off-Hero

Ma nel 2015, il team AVG per la sicurezza dei dispositivi mobile ha scoperto un nuovo ceppo di malware che può sfatare questo preconcetto. È un tipo di spyware noto con il nome di Android/PowerOffHijack, che assume il controllo del processo di arresto del telefono per farlo sembrare spento, quando invece continua a funzionare.

Questo articolo contiene:

    The AVG Virus Lab is made of an advanced team of cybersecurity researchers

    Avvistato per la prima volta in Cina, questo spyware si è diffuso attraverso gli app store cinesi infettando migliaia di dispositivi con versioni di Android precedenti alla v.5 (Lollipop). Gli utenti devono concedere al malware autorizzazioni di root perché possa sabotare il processo di arresto.

    Dopo che l'utente ha premuto il pulsante di accensione, il telefono mostra un'animazione di arresto autentica, come se fosse stato effettivamente spento. Ma benché lo schermo sia nero, il telefono è ancora acceso.

    Mentre il cellulare è in questo stato, lo spyware Android/PowerOffHijack può effettuare chiamate in uscita, scattare fotografie ed eseguire molte altre operazioni senza notificarlo all'utente.

    In che modo?

    Analisi del processo di arresto di Android

    Nei dispositivi Android, quando si preme il pulsante di accensione, il malware chiamerà la funzione interceptKeyBeforeQueueing. interceptKeyBeforeQueueing verificherà che il pulsante sia stato premuto e quindi continuerà con il processo seguente.

    The interceptKeyBeforeQueueing function in the Android mobile OS.Quando il pulsante di accensione viene rilasciato, verrà chiamata interceptPowerKeyUp, che attiva a sua volta un altro processo eseguibile.

    Runnable code triggered by the interceptPowerKeyUp function in the Android mobile OS.Stando al frammento di codice sopra riportato, l'opzione LONG_PRESS_POWER_GLOBAL_ACTIONS indica che verranno eseguite alcune azioni dopo che il pulsante di accensione è stato rilasciato. showGlobalActionsDialog aprirà una finestra di dialogo per consentire di impostare il telefono su spento, disattivare la suoneria o attivare la modalità aeroplano.

    Power off options within Android's shutdown procedure.Se si seleziona l'opzione per lo spegnimento, il malware chiamerà mWindowManagerFuncs.shutdown.

    The mWindowManagerFuncs.shutdown interface object in the Android mobile OS.

    Ma mWindowManagerFuncs è un oggetto di interfaccia, che chiamerà effettivamente la funzione di arresto ShutDownThread. ShutDownThread.shutdown coincide con l'avvio effettivo del processo di arresto. Per prima cosa verrà arrestato il servizio di connettività e si chiamerà il servizio di gestione dell'alimentazione per spegnere il dispositivo.

    Alla fine, all'interno del servizio di gestione dell'alimentazione verrà chiamata una funzione nativa per lo spegnimento.

    The power manager service in the Android mobile OS.The native shutdown function in the Android mobile OS.Dal momento che mWindowManagerFuncs.shutdown disattiva i servizi di connettività del telefono, eventuale malware che intenda sabotare il processo di spegnimento dovrebbe interferire prima che si attivi questa funzione. Vediamo come procede Android/PowerOffHijack.

    Analisi del malware

    Per prima cosa, Android/PowerOffHijack richiede un'autorizzazione di root. Dopo averla ottenuta, lo spyware inserirà il processo system_server e installerà un hook dell'oggetto mWindowManagerFuncs.

    A questo punto, quando premi il pulsante di accensione, vedrai una finestra di dialogo contraffatta invece di quella autentica di Android. E se scegli di spegnere il telefono, comparirà un'animazione di arresto fittizia, che lascia il dispositivo acceso ma lo schermo spento.

    A portion of code demonstrating how Android/PowerOffHijack takes over an Android device's shutdown process.

    Infine, per indurti a credere che il cellulare sia veramente spento, dovrà essere installato un hook anche per alcuni servizi di trasmissione di sistema.

    Vediamo qualche esempio:

    Registrazione di una chiamata

    Code showing how the Android/PowerOffHijack Android spyware records a callTrasmissione di messaggi privati

    Code showing how the Android/PowerOffHijack Android spyware sends messages

    Difenditi dallo spyware con AVG AntiVirus per Android

    Anche lo spyware più subdolo come Android/PowerOffHijack non ha scampo con AVG AntiVirus per Android. Il nostro strumento completo per la protezione mobile eseguirà una scansione del tuo dispositivo per rilevare e rimuovere il malware e ti terrà al sicuro anche da attacchi futuri. Proteggi i tuoi dispositivi da spyware, virus e altri tipi di malware e fai in modo che i tuoi dati non finiscano nelle mani sbagliate anche nel mondo reale grazie al tracciamento integrato del telefono Anti-Theft.

    Proteggi il tuo dispositivo Android dalle minacce con AVG AntiVirus

    Installazione gratuita

    Proteggi il tuo iPhone dalle minacce con AVG Mobile Security

    Installazione gratuita