Malware nascosto che depreda milioni di telefoni Android pronti all'uso
Un incidente preoccupante di un attacco alla catena di approvvigionamento rivolto ai dispositivi Android è stato scoperto dai ricercatori di sicurezza informatica di Trend Micro. Hanno scoperto che milioni di dispositivi Android, inclusi smartphone economici, smartwatch, smart TV e altri dispositivi intelligenti, vengono infettati da malware infostealer ancor prima di lasciare la fabbrica.
Durante una conferenza a Singapore, i ricercatori di Trend Micro Fyodor Yarochkin e Zhengyu Dong hanno fatto luce sulla causa principale di questo problema, attribuendola alla feroce concorrenza tra i produttori di apparecchiature originali (OEM). Mentre i produttori di smartphone esternalizzano alcuni componenti, come il firmware, a fornitori di terze parti, i prezzi in calo del firmware dei telefoni cellulari hanno portato questi fornitori a lottare per monetizzare i loro prodotti.
Di conseguenza, Yarochkin ha spiegato che questi prodotti hanno iniziato a essere preinstallati con "plugin silenziosi" che erano extra indesiderati. L'indagine di Trend Micro ha rivelato la scansione di numerose immagini del firmware alla ricerca di software dannoso e ha identificato circa 80 plug-in diversi. Alcuni di questi plugin facevano parte di un "modello di business" più ampio e venivano venduti su forum clandestini e pubblicizzati su piattaforme e blog di social media tradizionali.
Questi plug-in possiedono varie funzionalità, tra cui il furto di informazioni sensibili, messaggi SMS, acquisizione di account di social media, frodi pubblicitarie e di clic, abusi del traffico e altro ancora. Il Registro ha evidenziato un problema particolarmente grave in cui un plug-in consente all'acquirente di ottenere il controllo completo di un dispositivo per periodi fino a cinque minuti e di utilizzarlo come "nodo di uscita".
Secondo Trend Micro, i dati indicano che quasi nove milioni di dispositivi in tutto il mondo sono stati vittime di questo attacco alla supply chain, la maggior parte dei quali si trova nel sud-est asiatico e nell'Europa orientale. Sebbene i ricercatori non abbiano nominato esplicitamente i colpevoli, hanno menzionato la Cina più volte nella loro discussione.
Che cos'è un attacco alla catena di approvvigionamento?
Un attacco alla catena di approvvigionamento è una tattica dannosa impiegata dai criminali informatici per individuare e sfruttare le vulnerabilità all'interno della rete interconnessa di fornitori, venditori e fornitori di servizi che contribuiscono alla produzione e alla distribuzione di beni o servizi. Anziché attaccare direttamente un obiettivo specifico, gli aggressori si infiltrano e compromettono un'entità attendibile all'interno della catena di fornitura per ottenere l'accesso non autorizzato o introdurre elementi dannosi nel prodotto o servizio finale.
L'obiettivo di un attacco alla catena di approvvigionamento è sfruttare la fiducia riposta nell'entità compromessa e utilizzarla come trampolino di lancio per raggiungere l'obiettivo finale. Compromettendo un collegamento affidabile nella catena di approvvigionamento, gli aggressori possono ottenere l'accesso a informazioni sensibili, introdurre malware, manomettere prodotti o manipolare processi, portando a vari esiti dannosi.
Esistono diversi metodi impiegati negli attacchi alla catena di approvvigionamento, tra cui:
Manipolazione del software o del firmware: gli aggressori prendono di mira il software o il firmware dei prodotti, inserendo codice dannoso o vulnerabilità durante il processo di sviluppo o produzione.
Compromissione del fornitore: i criminali informatici compromettono l'infrastruttura di un fornitore o di un fornitore per ottenere l'accesso non autorizzato a dati o sistemi sensibili e li utilizzano come trampolino di lancio per ulteriori attacchi.
Sfruttamento di componenti di terze parti: gli aggressori sfruttano le vulnerabilità nei componenti di terze parti integrati in prodotti o servizi, sfruttando questi punti deboli per compromettere l'intero sistema.
Componenti contraffatti: attori malintenzionati introducono componenti contraffatti o compromessi nella catena di fornitura, il che può portare a violazioni della sicurezza o problemi di prestazioni nel prodotto finale.