Nell’articolo precedente abbiamo illustrato come effettuare una “Bonifica di un PC Windows“, oggi vedremo come individuare SpyWare (irrilevabili dagli AntiVirus) presenti in un telefono Android.
Come già detto, per individuare un MalWare molto sofisticato, non è sufficiente eseguire Scansioni AntiVirus. Ma bisogna svolgere un lungo processo di Bonifica del Device. Le cose fondamentali da controllare sono i processi attivi, le connessioni in entrata ed in uscita, file sospetti, etc… Per maggiori dettagli vi consiglio di rileggere “Bonifica di un PC Windows“.
Innanzitutto come accorgersi se uno SmartPhone è spiato? Esistono una serie di campanelli d’allarme che andrebbero ascoltati, per esempio la vostra batteria si scarica prima del previsto pur avendo avuto il telefono in Stand-by ?! Magari il telefono è pure di ultima generazione e lo avete comprato ieri… Strano !! Questo perchè chi vi sta spiando tenterà di intercettare le chiamate, attivare il GPS, accendere il WiFi, etc.. tutte attività che possono interferire con il regolare ciclo del telefono.
Per eseguire questa dimostrazione abbiamo installato l’ultima versione di Cerberus. Un efficentissimo sistema antifurto (spesso usato come uno SpyWare). Non è il massimo ai fini spionistici, ma per una dimostrazione andrà più che bene.
L’abbiamo configurato per mimetizzarsi tra le App del telefono, ed è irrilevabile dagli Scanner dei comuni AntiVirus.
Ora colleghiamo il telefono tramite cavo USB al PC ed avviamo ADB dal Prompt dei comandi.
Inizieremo subito ad individuare le connessioni attive sul telefono con il comando “adb shell” e “netstat”
Come potete vedere dalla foto a seguire abbiamo un Recort PTR della connessione sospetta, che punta a “pippo.cerberusapp.com”
Un ulteriore approfondimento possiamo eseguirlo con WireShark. L’analisi del traffico mostra che l’App installata nel Telefono, comunica con l’Host sopracitato. Possiamo anche notare che l’itero traffico è cifrato.
Ora ricaviamoci la lista dei processi attivi, con il comando “ps”
L’app che attiva il processo si chiama “com.lsdroid.cerberuss“.
Tenete sempre presente che non sempre i processi dannosi sono di così facile intuizione. Il più delle volte assumeranno aspetti molto rassicuranti, o addirittura potrebbero essere nascosti e non facilmente individuabili.
Per questo è iportante controllare le connessioni in entrata ed in uscita. Inevitabilmente uno SpyWare tenterà di comunicare con l’Attaccante da remoto e l’Attaccante invierà comandi allo SpyWare. Di solito questi MalWare si collegano ad un WebServer (tramite la rete ToR e simili).
Ora ricaviamoci l’elenco delle App con il comando “pm list packages”
Vediamo di quali permessi dispone (cosa può fare sul nostro telefono?). Lanciamo il comando “adb shell dumpsys package com.lsdroid.cerberuss”
In fine per rimuovere l’app basta digitare “adb unistall com.lsdroid.cerberuss“.
Con ADB avrete il controllo totale del vostro telefono Android. Quelli che avete visto sono dei passaggi mirati. Il processo di bonifica è molto più complesso di solito ed il malware non è mai di cosi facile identificazione. Inoltre ADB è in grado di fornirvi anche l’elenco delle App e dei Processi che NON sono visibili dal vostro cell Android!
In questo articolo siamo stati molti sintetici riguardo la bonifica di uno SmartPhone, come già suggerito vi invitiamo a leggere “Bonifica di un PC Windows” per una panoramica più amplia.
Ad ogni modo è sempre consigliabile rivolgersi ad un’esperto!
