Attenzione ai tablet Android economici: potrebbero avere un malware di fabbrica

Scoprire che un malware entra in gioco dopo aver installato un’app sospetta è fastidioso, ma almeno lascia l’illusione di avere un minimo di controllo sulla situazione.

In questo caso, invece, i ricercatori di Kaspersky hanno individuato un backdoor già presente nel firmware di alcuni tablet Android, prima ancora che i dispositivi uscissero di fabbrica, con implicazioni piuttosto serie per la sicurezza.

Vuoi ascoltare il riassunto dell’articolo?

Ascolta su Spreaker.

Kaspersky ha individuato una nuova backdoor Android chiamata Keenadu, integrata direttamente nel firmware di alcuni tablet prodotti da brand diversi.

Il codice malevolo non arriva tramite un’app scaricata dopo l’acquisto, ma risulta inserito già nella fase di costruzione del firmware, quindi nella catena di sviluppo del software di sistema.

Gli esperti parlano di un problema legato alla supply chain, perché il malware sembra comparire già nelle immagini firmware ufficiali, e non come risultato di una manomissione successiva.

Una volta attivo, Keenadu si inietta nel processo Zygote di Android, il componente che avvia ogni applicazione sul dispositivo.

Intervenendo su Zygote, il backdoor ottiene una visibilità estesa e un forte controllo sulle app e sui dati, molto oltre le possibilità di una semplice app malevola installata dall’utente.

Il malware può scaricare moduli aggiuntivi in grado di reindirizzare le ricerche del browser, tracciare le installazioni di app per fini di profitto e interagire con elementi di pubblicità, creando così un ecosistema di attività indesiderate difficili da notare a colpo d’occhio.

Un esempio confermato riguarda le immagini firmware del tablet Alldocube iPlay 50 mini Pro, analizzate dai ricercatori.

In ogni versione esaminata, inclusi i rilasci pubblicati dopo la presa d’atto delle segnalazioni di malware da parte del produttore, il backdoor risultava ancora presente.

Le immagini firmware riportavano firme digitali valide, un dettaglio che rafforza l’ipotesi di un problema nella catena di sviluppo del software, e non di un intervento esterno sui pacchetti dopo la loro pubblicazione.

Kaspersky stima che 13.715 utenti nel mondo abbiano incontrato Keenadu o i suoi moduli, con numeri più elevati in Russia, Giappone, Germania, Brasile e Paesi Bassi.

L’azienda collega questa minaccia anche ad altre famiglie di botnet Android già note, tra cui Triada, BadBox e Vo1d, segno che ci si trova davanti a un tassello di un ecosistema malevolo già strutturato.

Il quadro che emerge è quello di una campagna che punta soprattutto a dispositivi economici e a marchi meno conosciuti, dove i controlli sulla filiera software risultano spesso meno rigorosi rispetto ai grandi produttori.

Dopo la pubblicazione delle analisi, un portavoce di Google ha chiarito ad Android Authority che gli utenti Android risultano automaticamente protetti dalle versioni note di Keenadu tramite Google Play Protect.

Play Protect, attivo per impostazione predefinita sui dispositivi con Google Play Services, può avvisare l’utente e disattivare app che mostrano comportamenti associati a Keenadu, anche quando queste non provengono dal Play Store.

Google ha inoltre confermato di avere rimosso dal Play Store le tre app malevole citate nel rapporto di Kaspersky e ha ricordato l’importanza di utilizzare dispositivi certificati Play Protect, verificando la certificazione nelle impostazioni di sistema.

Le analisi non riguardano i principali marchi di punta del mondo Android, ma si concentrano su un produttore di tablet meno noto e su altri fornitori che, al momento, non risultano nominati pubblicamente.

I ricercatori segnalano che i vendor coinvolti sono stati avvisati e con ogni probabilità stanno lavorando a aggiornamenti firmware puliti, che dovrebbero sostituire le versioni compromesse.

Per quanto le protezioni di Play Protect siano efficaci, vale per l’hardware un po’ la stessa raccomandazione che facciamo sempre per il software: verificarne la provenienza e dubitare sempre. Meglio spendere qualcosa in più per un marchio noto che dia (la parvenza di) maggior affidabilità, piuttosto che inseguire il risparmio a tutti i costi e ritrovarsi poi con un firmware viziato alla radice, del quale magari è anche difficile diventare consapevoli. A meno di non leggere regolarmente SmartWorld!