Tags Posts tagged with "Check Point SandBlast Mobile"

Check Point SandBlast Mobile

Check Point Research, la divisione Threat Intelligence di Check Point® Software Technologies Ltd., il principale fornitore di soluzioni di cybersecurity a livello globale, scopre una falla di sicurezza in Samsung, Huawei, LG, Sony e in altri smartphone Android che rende gli utenti vulnerabili ai più evoluti attacchi di phishing.

I cellulari Android affetti utilizzano il provisioning over-the-air (OTA), attraverso il quale gli operatori di rete possono impostare specifiche di rete per un nuovo telefono che entra a far parte del loro network. Tuttavia, Check Point Research ha svelato che lo standard industriale per il provisioning OTA, l’Open Mobile Alliance Client Provisioning (OMA CP), contiene metodi di autenticazione limitata. I malintenzionati possono sfruttarlo per apparire sotto forma di operatori di rete e inviare messaggi OMA CP ingannevoli agli utenti. Il messaggio li induce ad accettare impostazioni dannose che, ad esempio, indirizzano il loro traffico Internet attraverso un server proxy di proprietà dell’hacker.

I ricercatori hanno stabilito che alcuni cellulari Samsung sono i più vulnerabili a questa forma di attacco phishing perché non hanno un controllo di autenticità per i mittenti di messaggi OMA CP. L’utente deve solo accettare il CP e il software dannoso sarà installato senza che il mittente debba dimostrare la propria identità.

I cellulari Huawei, LG e Sony, invece, hanno una forma di autenticazione, ma gli hacker hanno bisogno solo dell’International Mobile Subscriber Identity (IMSI) del destinatario per “confermare” la propria identità. Gli hacker possono ottenere l’IMSI di una vittima in vari modi, inclusa la creazione di un’app Android malevola che legge l’IMSI di un telefono, una volta installata. L’hacker può anche aggirare la necessità di un IMSI inviando all’utente un messaggio di testo come se fosse un operatore di rete chiedendogli di accettare un messaggio OMA CP protetto da PIN. Se l’utente inserisce il numero PIN fornito e accetta il messaggio OMA CP, il CP può essere installato senza IMSI.

Data la diffusione dei dispositivi Android, questa vulnerabilità è davvero critica e deve essere affrontata”, ha dichiarato Slava Makkaveev, Security Researcher di Check Point Software Technologies. “Senza una forma di autenticazione più forte, è facile per un hacker lanciare un attacco phishing attraverso il provisioning over-the-air. Quando l’utente riceve un messaggio OMA CP, non è in grado di capire se proviene da una fonte affidabile. Facendo clic su ‘accetta’, potrebbe benissimo far entrare un criminale informatico nel proprio telefono.

I ricercatori hanno trasmesso quanto emerso ai diretti interessati lo scorso mese di marzo. Samsung ha aggiunto una patch per risolvere questo problema nella propria Security Maintenance Release di maggio (SVE-2019-14073), LG ha rilasciato la patch a luglio (LVE-SMP-190006), e Huawei sta progettando di includere le correzioni dell’interfaccia utente per OMA CP nella prossima generazione di smartphone della serie Mate o della serie P. Sony ha rifiutato, invece, di riconoscere la vulnerabilità, affermando che i loro dispositivi seguono le specifiche OMA CP.

Check Point SandBlast Mobile previene gli attacchi Man-in-the-Middle e phishing ed è in grado di proteggere i dispositivi dai messaggi OMA CP dannosi. Per maggiori informazioni: https://www.checkpoint.com/products/mobile-security/

I ricercatori di Check Point® Software Technologies Ltd, il più grande fornitore mondiale specializzato nel campo della sicurezza informatica, hanno scoperto un malware mobile che ha infettato 14 milioni di dispositivi Android, effettuando il root di circa 8 milioni di essi e facendo guadagnare agli hacker responsabili della campagna di circa 1,5 milioni di dollari in ricavi derivanti da annunci pubblicitari falsi in due mesi.

Il malware, chiamato CopyCat dai ricercatori di Check Point, utilizza una nuova tecnica per generare e rubare i ricavi dagli annunci pubblicitari. CopyCat ha infettato gli utenti principalmente nell‘Asia sudorientale e si è diffuso in oltre 280.000 dispositivi Android negli Stati Uniti.

CopyCat è un malware completamente sviluppato con diverse funzionalità, tra cui elevare i permessi di root, stabilire persistenza sui dispositivi e immettere codice malevolo all’interno di Zygote, ovvero il processo che fa da schema principale per i processi generati durante l’uso del dispositivo.

I ricercatori hanno incontrato per la prima volta il malware quando ha attaccato i dispositivi in ??un’impresa protetta da Check Point SandBlast Mobile. Check Point ha recuperato informazioni dai server di comando e controllo del malware e ha condotto un’indagine completa del suo funzionamento interno, disponibile in questo rapporto tecnico.