Articoli

Il Phishing passa anche attraverso le applicazioni Android

Phishing-Attack-Launched-from-Android-Market-2

La scorsa settimana i contatti tra il D3Lab e gli istituti di credito hanno permesso il recupero di un complesso sistema di gestione di una Botnet dedicata a carpire le credenziali bancarie degli utenti. Sono stato interpellato durante l’analisi di questo caso con l’incarico di analizzare ogni sfaccettatura dell’attacco, ricevuti i file è stato possibile installarli su una macchina di test che ci permettesse di esaminarne il funzionamento.

Non voglio soffermarmi oltre sugli aspetti tecnici, ma bensì su una tipologia di attacco che i malviventi attuano ai danni degli utenti Android. Trattandosi di un attacco non convenzionale credo che rispecchierà una nuova frontiera per i Phisher ed ho deciso di documentare l’accaduto per sensibilizzare l’attenzione degli utenti.

I malcapitati utenti venivano invitati tramite pagine web dedicate ad hoc o tramite l’invio di SMS ad installare una applicazione dedita alla protezione dei propri dati personali e alla criptazione di essi, ma tale applicazione realmente è stata sviluppata con l’intento di sottrarre le credenziali che gli utenti digitavano sul Browser del proprio Smartphone. Il servizio online AndroTotal ci dimostra come 4 Antivirus su 6 riportano come malevole tale applicativo.

Homepage_Phishing_Android

La precedente immagine, volutamente oscurata in alcune parti, vi riportata l’homepage del pannello online di gestione dei bots Android in cui vengono configurati alcuni servizi fondamentali per il buon esito dell’attacco. Come potrete notare è possibile impostare il servizio Jabber così che l’attaccante possa ricevere istantaneamente la notifica di avvenuta acquisizione di credenziali (username, password e token) e velocemente possa ripetere il login dal suo terminale con un codice token ancora valido. Inoltre è possibile configurare un servizio SMSc per l’invio di SMS, impostare il testo del messaggio di testo e il link per il download dell’applicazione.

Bots_Phishing_Android

L’elenco dei bots/vittime ci riporta le credenziale carpite, l’indirizzo IP, l’eMail, il numero di cellulare e il sistema operativo della vittima oltre alla data di acquisizione delle credenziali.

 

Credenziali_Phishing_Android

Infine per ogni vittima è possibile aprire un pannello dedicato dove poter leggere le credenziali e il sito internet fonte di tali dati.

La crittografia mobile farà morire un bambino?! No, la causa è l’incompetenza!

sicurezza-iphone

In questi giorni sta facendo scalpore la dichiarazione del secondo funzionario del Dipartimento di Giustizia Americano, dichiarazione rivolte ad Apple e pubblicate sul The Wall Street Journal. James Cole ha espressamente dichiarato che un bambino potrebbe morire a causa della crittografia introdotto da iOS 8, poiché la polizia non sarebbe in grado di controllare il cellulare dell’indagato sospettato del rapimento del suddetto bambino.

Non lo nego fin da subito, sono fermamente convinto che la crittografia dei dispositivi sia cosa buona e giusta per preservare la nostra privacy nel caso di smarrimento o furto del dispositivo. Ma veramente la crittografia di un iPhone o Android può far morire un bambino rapito? Personalmente trovo questa dichiarazione assurda e credo che questo fatto dimostri nuovamente l’incompetenza giudiziaria, per confermare questa mia ipotesi voglio sottolineare alcuni aspetti che per me son fondamentali ma sono stati trascurati nel raccontare questa vicenda!

Prima dei telefoni?!

I telefoni cellulari esistono dai primi anni ’80 ma sono dagli anni ’90 la diffusione è cresciuta in maniera esponenziale portando nelle tasche dei cittadini anche più di un telefonino e solo nel 2007 (7 anni fa) sono arrivati i primi e veri Smartphone. L’avvento degli smartphone ha sicuramente dato un’accelerata alle indagini di polizia poiché in un dispositivo è possibile raccogliere molteplici informazioni (Rubrica, Chiamate, SMS, eMail, Chat, Coordinate GPS, ecc ecc) ma fino ad allora come si faceva!?

Non venitemi a dire che i bambini prima dell’avvento dei cellulari non venivano rapiti? Microfoni ambientali o ronde di sorveglianza erano strumenti di primo ordine per un investigatore! Insomma capisco che in ufficio si sta belli comodi ad indagare su un caso ma bisognerebbe anche alzarsi e indagare con le maniere tradizionali…dai Bar si scoprano sempre tanti dettagli! E se non vi ricordate come si fa un classico del ‘800 vi racconterà diverse storie!

Triangolazione telefonica?!

Avete tra le mani un iPhone con iOS 8 o un bellissimo Nexus 5 già aggiornato a Lollipop e per disdetta c’è un pin di accesso, certamente un tentativo di forza brutta è da evitare poiché spesso dopo X tentativi il telefono va in blocco con un conseguente wipe della memoria! Ma allora optate per una tradizionale triangolazione del segnale telefonico magari degli ultimi 30, 60 o 90giorni per capire dove è stato il malvivente e magari anche chi ha contattato! In fin dei conti prima dell’avvento degli Smartphone le indagini si basavano sulla triangolazione telefonica poiché i telefoni cellulari avevano una memoria ridotta e più di 50sms non conservavano e il registro chiamate conservava al massimo 30 chiamate!

Altre fonti?!

Ok avete tra le mani uno Smartphone che sicuramente contiene le coordinate del luogo in cui il malvivente tiene in sequestro il bambino, altrove non avete trovato altri dettagli! Caspita, come facciamo a trovare altri dettagli?! Ora se avete il telefono del malvivente tra le mani mi vien da pensare che avete acciuffato il malvivente vivo o morto che sia, se è vivo potete estorcerli una confessione ma se è morto oppure ha perso il telefono durante una fuga?! Bhe se il malvivente non è ovviamente in grado di dirvi nulla lo potete identificare (dal cadavere, dalla videoregistrazione durante il tentativo fallito di liberare il bambino, dall’utenza telefonica, ecc) e vi recate presso la sua abitazione dove trovare il suo computer…se non è cifrato fate ma bassa dei dati (eMail, Backup, ecc ecc) e sicuramente qualche dettaglio aggiuntivo lo trovate! Nell’ipotesi peggiore vi trovate davanti ad un PC e Smartphone crittografato e allora vi guardate attorno e scoprite che in una agenda vi sono segnate tutte le password degli account Apple, Google, ecc ecc BINGO! No, non è la giornata fortunata non trovo nulla, però il malvivente non abita da solo, ottimo allora abbiamo una nuova persona da interrogare che ci potrà rilevare nuovi dettagli (dove si recava il malvivente frequentemente, magari le sue password, ecc ecc). Se abita da solo? Bhe ci sono i vicini, i parenti, ecc ecc insomma le strade da setacciare sono tantissime…

Conclusione

Indubbiamente questo articolo è provocatorio ma ha lo scopo di dimostrare che la crittografia di un dispositivo non deve fermare l’indagine della polizia ne tanto meno far pensare al peggio, in fin dei conti son convito che anche un poliziotto cifra i dati sul suo Smartphone per evitare che un possibile furto di quest’ultimo mandi all’area mesi e mesi di lavoro su un indagine che sta facendo! Poi per carità uno Smartphone privo di cifratura può aiutare indubbiamente le indagini, ma non bisogna fasciarsi la testa in caso contrario ne tanto meno pensare all’esito peggiore del caso!

Aspetti di sicurezza in Android: Sviluppo e Implementazione di un Malware

Android SMS Malware: Facebook and WhatsApp account theft

Con piacere vi riporto un riassunto della Tesi di Laurea discussa da Fabrizio Severino tenta al Corso di Laurea in Sicurezza dei sistemi e delle reti informatiche.

La stretta interazione con l’utente e il sistema operativo dei dispositivi mobile (smartphone o tablet) consente alle applicazioni (APP) di accedere a molti più dati rispetto a un browser web internet tradizionale. Da recenti studi, infatti, è emerso che chi possiede un dispositivo mobile ha normalmente attive in media circa 20 applicazioni, alcune delle quali sono in grado di raccogliere in maniera illecita grandi quantità di dati personali accedendo alle raccolte di foto, video, dati di localizzazione , informazioni bancarie, contatti, cronologia di navigazione etc. Oggi giorno gli utenti tendono a delegare la gestione di molti aspetti della propria vita, sia personale che professionale, alle nuove tecnologie senza preoccuparsi della privacy personale. I rischi e le minacce in cui un utente può incorrere per un uso non accorto o non regolamentato delle mobile apps derivano da mancanza di “trasparenza” nelle modalità e nella finalità di raccolta dei dati, incapacità o impossibilità da parte degli interessati di esercitare o recuperare il “controllo” sui propri dati e sul modo in cui vengono comunicati a terzi e infine la mancanza di nozioni tecniche basilari di “sicurezza informatica”.
Spesso, a fronte della fornitura di applicazioni in via del tutto gratuita, le case produttrici o fornitrici della APP acquisiscono una serie di dati personali dell’utente senza fornire adeguate istruzioni circa il relativo trattamento. Molte volte capita che lo stesso utente, pur di utilizzare il servizio offerto, sia disposto a cedere le informazioni e i dati personali (propri o di terzi) in suo possesso, senza preoccuparsi delle eventuali conseguenze pregiudiziali. Lo scopo principale del mio lavoro di tesi è quello di fornire una buona base tecnica di Android con l’obiettivo di suscitare negli utenti la consapevolezza dei rischi connessi all’installazione di applicazioni senza che si presti la dovuta attenzione ai permessi richiesti, oppure il rischio che si corre nel lasciare incustodito il proprio dispositivo. Durante il mio lavoro di tesi ho studiato il funzionamento e la diffusione del malware in ambiente Android, analizzando nel dettaglio il sistema operativo anche dal punto di vista della sicurezza.
In particolare, ho studiato come i dispositivi con Androind possono avere “coscienza” di tutto quello che hanno attorno e a stretto contatto con il mondo reale. Durante il lavoro di tesi ho anche fornito una descrizione degli aspetti legali, del concetto di privacy in Italia e del parere dei garanti europei in merito alla protezione dei dati personali. La parte pratica della tesi comprende lo sviluppo e l’implementazione di un semplice malware, dimostrando che tramite il servizio SMS offerto dall’operatore e le autorizzazioni di base per la lettura e la ricezione dei messaggi è possibile rompere i sistemi di sicurezza di altri servizi che l’utente utilizza, come ad esempio WhatsApp e Facebook, e di conseguenza rubare la sua identità digitale. Per concludere il lavoro di tesi ho realizzato anche delle linee guida che consentono sia agli utenti che agli sviluppatori di APP di preservare il più possibile la privacy per enfatizzare il concetto di privacy dy design

Video Simulazione

Inoltre è disponibile la Presentazione della Tesi e l’Indice della Tesi!

DroidRoach – Penetration Testing Suite per Android

DroidRoach

DroidRoach è un nuovo applicato Open Source sviluppato da Stefano Gabryel per il mondo mobile Android in grado di effettuare test di penetrazione su applicativi Web.

L’applicativo ad oggi alle versione 0.9b è in grado di effettuare i seguenti test:

  • Directory Brute-Force;
  • Subdomain Enumerator;
  • FTP Brute-Force;
  • Gather Information about the specified host;
  • Range IP Scanner.

È possibile effettuare il download del APK sul sito internet ufficiale, oppure visualizzare i sorgenti tramite GitHub.

SlowDroid DoS Tool – Attacco DoS da Android

SlowDroid Screenshot

SlowDroid è una applicazione Android che permette di effettuare test di sicurezza necessari a capire le debolezze della propria di rete, in particolare permette di generare un attacco DoS verso un bersaglio prestabilito sfruttando il protocollo HTTP, HTTPS, FTP, ed altri! Il programma permette inoltre di personalizzare il numero delle connessioni contemporanea e la durata dell’attacco, acquisto la versione Pro è inoltre possibile configurare ulteriori parametri.

Caratteristiche:

  • multi-protocollo (HTTP, FTP, email, SSH, condivisione file, …)
  • pochissima banda utilizzata
  • pochissimo consumo di cpu e ram
  • configurabile (completamente nella versione pro, per info visitare il sito http://security.ge.cnr.it )
  • completamente trasparente ai log durante l’attacco; compaiono tracce solo alla fine
  • funziona molto meglio di alternative come LOIC o Slowloris

SlowDroid è un lavoro del gruppo NetSec del CNR-IEIIT di Genova, per avere istruzioni dettagliate sul funzionamento dell’attacco e sui sistemi di protezione potete accedere al sito internet ufficiale del progetto, oppure se preferite provare l’Applicazione potete scaricarla attraverso il PlayStore.

AircrackGUI per Android

AircrackGUI_Android

Marco Deviato, ha intrapreso lo scorso Aprile un importante iniziativa che lo vede impegnato nel porting della famosissima suite AirCrack nel mondo Android. AirCrackGUI è infatti un software installabile su alcuni dispositivi Android in grado di effettuare test di sicurezza delle reti WiFi, come l’omonima suite per computer sarà possibile catturare pacchetti IVS e calcolare la chiave di protezione delle reti protette con il protocollo WEP oppure catturare l’Handshake delle reti WPA/WPA2.

Attualmente il software supporta due chipset Wireles:

  • BCM4329, presente negli smartphone: Nexus One, Evo 4G, Desire, Desire Z, Wildfire S;
  • BCM4330, non supporta il packet injection ed è presente nel Galaxy S II.

Per chi volesse provare AirCrackGUI per il proprio dispositivo Android trova sul blog XDA le istruzioni per l’installazione e i link all’APK.

AndroTotal: scansione online di APK sospette

AndroTotal
AndroTotal è un servizio gratuito, attualmente in versione Beta, in grado di ispezionare i pacchetti APK alla ricerca di vulnerabilità. I pacchetti APK (Android Package) sono una variante dei pacchetti JAR e vengono distribuiti per l’installazione di applicazioni nel mondo mobile Android.

AndroTotal non è il comune Antivirus da installare sul proprio dispositivo, ma un portale online accessibile da qualsiasi computer in cui caricare e scansionare i file APK. Creato dai laboratori del NECSTLab e DEIB del Politecnico di Milano e pubblicato lo scorso 15 Aprile 2013. Continua a leggere

dSploit – Android Network Penetration Suite

Simone Margaritelli (aka Evilsocket) ha recentemente pubblico dSploit, un nuovo progetto dedicato al mondo Android in grado di effettuare analisi e penetrazioni di rete portando su un dispositivo mobile un software avanzato e professionale per eseguire una IT Security Assessment.

Una volta avviata l’applicazione, l’utente sarà in grado di mappare la propria rete, identificare i sistemi operativi ed i servizi in esecuzione sugli altri endpoint, cercare le relative vulnerabilità note, craccare procedure di login dei più comuni sistemi di autenticazione, eseguire attacchi di tipo man in the middle e conseguentemente avere il totale controllo del traffico di rete, sia passivo con un password sniffer e dei dissector dei protocolli più comuni, che attivo manipolando in tempo reale i pacchetti da e verso le altre macchine connesse sulla nostra stessa rete, ecc ecc.

dSploit richiede un dispositivo Android (versione 3.0 o superiore) con i permessi di root abilitati e tutti i binari di busybox installati.

Attualmente dSploit viene distribuito in versione beta attraverso il circuito GitHub il Sito Ufficiale dovete potete trovare il file APK da installare direttamente sul vostro dispositivo!

WPA Tester per Android si aggiorna alla 4 versione!

WPA Tester per Android si aggiorna raggiungendo la quarta versione, il famoso software per il recupero della propria chiave WPA è stato completamente rivisto!

Di primo impatto troviamo una nuova veste grafica che nasconde una rivisitazione totale del codice sorgente del software e l’introduzione di ben 12 nuovi algoritmi (Arcor, EasyBox, OTE, Blink, Vodafone(no IT), P1, PBS, ZON, CONN-X, HITACHI, Andared, Megared)  e l’aggiornamento dei vecchi router.

Potete scaricare il software cliccando qui oppure tramite il seguente QrCode:

 

Android Jelly Bean integra il supporto ASLR

Ci sono tanti vantaggi ad essere il più diffuso sistema operativo mobile ma altrettanti negativi, uno di questi è la sicurezza della piattaforma.

Android è costantemente preso di mira da malintenzionati utenti che tentano di accedere illecitamente negli Smartphone alla ricerca di informazioni personali, per contrastare gli attacchi Google ha introdotto il supporto alla tecnologia ASLR dell’ultima versione del suo sistema operativo v4.1 nome in codice Jelly Bean.

La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) è una misura di protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l’indirizzo delle funzioni di libreria e delle più importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice malevolo su un computer è costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare, provocando una serie di crash del programma vettore (infettato o apertamente malevolo).

Normalmente, se durante l’esecuzione di codice si accede a una struttura dati con l’indirizzo sbagliato si ottengono dati errati, e se si chiama una funzione con l’indirizzo errato si provoca una eccezione, che porta alla terminazione del programma da parte del sistema operativo; un programma malevolo sfrutterà però l’eccezione generata (legittimamente: non è possibile né consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di quale tentativo è fallito, raccogliendo così sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima o poi con precisione l’indirizzo di memoria delle risorse che gli servono. Questa attività di raccolta di informazioni genera però una serie ripetuta di crash del programma in questione, che è quindi ben visibile all’utente o ai programmi antivirus. {Wikipedia}

Via | MobileBlog