NotCompatible trojan per terminali Android: attenzione alle fonti di installazione per le App


C’è una nuova potenziale minaccia per gli utenti Android, infatti stando a quanto riportato in questo post da parte di  Lookout sarebbero stati individuati almeno una dozzina di domini internet utilizzati per distribuire malware con l’ormai classico metodo drive-by download.

Il nuovo malware è stato denominato NotCompatible e per distribuirsi utilizza questo ssemplice schema: da terminale Android accedendo a particolari URL viene avviato il download del codice malevolo, successivamente viene chiesta conferma all’utente per procedere all’installazione. Sarebbe sempre raccomandable utilizzare app e software proveniente dal marketplace ufficiale Google Play, e già questa precauzione metterebbe al riparo da NotCompatible.

A quanto appena scritto va anche aggiunto che l’installazione di codice è in questo caso specifico vincolata a una scelta fatta dall’utente, quindi c’è anche una consapevolezza dell’azione. Solitamente minacce che utilizzano il drive-by download fanno riferimento a siti web compromessi, ma nel caso specifico a rendere il tutto degno di attenzione è lo specifico target scelto: i terminali Android. Infatti, accedendo ai medesimi URL con altri sistemi operativi viene visualizzato dal browser un banale messaggio di errore.

Probabilmente l’ampia diffusione dei terminali Android costituirà in futuro un nuovo target per l’industria del malware. Già ora sono disponibili svariate soluzioni di sicurezza dedicate a questi terminale, anche se prima di tutto sono alcune scelte e azioni dell’utente che andrebbero evitate. Nel caso di NotCompatible ad esempio è sufficiente non prevedere il download di codice da fonti alternative a quelle ufficiali, e se anche lo si volesse fare in specifiche situazioni è comunque importante prestare attenzione a cosa si accetta di installare e in quale momento.

Per il momento non è stata individuata una payload pericolosa relativa a questo malware: il codice malevolo pare comportarsi come un proxy utilizzabile da terzi per compiere eventuali altre azioni online. La presenza però di un command and control server all’ URL notcompatibleapp.eu fa supporre che da remoto potranno essere anche gestiti update del codice malevolo, quindi l’attuale payload potrebbe presto essere modificata.