C’è un nuovo malware che minaccia la sicurezza degli utenti Android: Oblivion, un malware ovvero un nuovo trojan di accesso remoto (RAT) che permette ai malintenzionati di prendere il pieno controllo di un dispositivo da remoto, senza che il proprietario se ne renda conto. A fare luce sulla questione sono i ricercatori di Certo, una compagnia impegnata nel settore della cybersecurity internazionale, che hanno rivelato che Oblivion sta prendendo di mira tutti i dispositivi che supportano le versioni da Android 8 ad Android 16, ossia buona parte degli smartphone attualmente in uso. Inoltre, a contraddistinguere il RAT sarebbero una serie di caratteristiche ben combinate tra loro: la capacità di bypassare automaticamente le autorizzazioni, la garanzia di un controllo remoto impossibile da riconoscere e un builder che ne consente l’utilizzo anche ai cybercriminali alle prime armi. Insomma, Oblivion sembra avere tutte le carte in regola per terrorizzare non solo gli utenti Android, ma anche i produttori di dispositivi, dimostrandosi una minaccia per la sicurezza difficile da fermare.
Un malware costruito per la vendita
A rendere incredibilmente pericoloso Oblivion non sono tanto le sue caratteristiche tecniche, quanto il fatto che questo sia stato progettato per essere venduto al mercato cybercriminale. Gli stessi ricercatori di Certo, infatti, hanno notato per la prima volta il malware in un forum di hacking, in cui veniva pubblicizzato come una vera e propria novità nel settore: un RAT testato in contesti reali per ben quattro mesi, durante i quali il proprietario non ha rilevato né crash né comportamenti anomali. Infine, ad attirare l’attenzione di criminali ed esperti di sicurezza è stato sicuramente il modello di malware in abbonamento, che consente agli utenti di avere un accesso continuo allo strumento: 300 $ per un mese, 700 $ per tre mesi e 2200 $ per un uso illimitato nel tempo.
Come funziona Oblivion
Oblivion è molto più di un semplice malware, è uno strumento pensato per consentire ai cybercriminali di colpire un numero alto di vittime pur senza avere competenze tecniche specifiche. Secondo quanto riferito dai ricercatori di Certo, infatti, il RAT include un builder integrato che permette ai malintenzionati di creare un’app malevola senza scrivere una sola riga di codice. A questo si aggiunge anche un Dropper Builder, ossia uno strumento progettato per introdurre il malware nel dispositivo della vittima: generando una falsa notifica di “Aggiornamento richiesto” da Google Play, questo fornisce all’utente istruzioni dettagliate per abilitarne l’installazione da fonti sconosciute. Una volta installato l’aggiornamento fasullo, Oblivion entra in azione, avviando la concessione automatica delle autorizzazioni, senza richiedere alcuna interazione da parte della vittima. Un dettaglio da non sottovalutare, considerando che il sistema operativo Android richiede sempre l’approvazione manuale per le autorizzazioni sensibili, soprattutto per quanto riguarda le funzioni di accessibilità. Una prassi che il RAT riesce ad aggirare senza alcuna fatica.
A questo punto, Oblivion sfrutta la tecnologia Hidden VNC (HVNC) per consentire ai cybercriminali di visualizzare e controllare da remoto il dispositivo della vittima, rimanendo completamente invisibili. E così, mentre la vittima visualizza sullo schermo un’animazione che gli segnala un aggiornamento del sistema in corso, da lontano i malintenzionati prendono il controllo dello smartphone in una sessione completamente nascosta. Anzi, grazie alla modalità Screen Reader fornita da Oblivion, questi riescono persino ad aggirare le protezioni che le app bancarie e i portafogli crittografici utilizzano per bloccare la cattura dello schermo. Insomma, il RAT sembra essere stato costruito per colpire nel segno, e per farlo bene. Soprattutto considerando che questo risulta progettato per rimanere su un dispositivo una volta installato, bloccando i tentativi di revocare le sue autorizzazioni, di rimuovere l’applicazione malevola o di disabilitare le funzioni di accessibilità che gli sono state fornite.
Come difendersi
Fortunatamente, nonostante l’elevato rischio rappresentato dal malware, i ricercatori di sicurezza di Certo hanno fornito alcuni consigli utili per evitare di cadere vittima dei criminali che lo utilizzano. Il primo suggerimento, come è facile immaginare, è di diffidare dalle notifiche di aggiornamento che risultano oscure e poco affidabili. E di evitare di installare aggiornamenti provenienti da fonti esterne al Google Play Store. Infine, per essere certi di mettere al sicuro i vostri dispositivi Android, fareste bene a controllare le autorizzazioni di accessibilità fornite alle applicazioni installate, così da poter revocare immediatamente qualunque autorizzazione concesse ad app poco note.
