Ma nel 2015, il team AVG per la sicurezza dei dispositivi mobile ha scoperto un nuovo ceppo di malware che può sfatare questo preconcetto. È un tipo di spyware noto con il nome di Android/PowerOffHijack, che assume il controllo del processo di arresto del telefono per farlo sembrare spento, quando invece continua a funzionare.
Avvistato per la prima volta in Cina, questo spyware si è diffuso attraverso gli app store cinesi infettando migliaia di dispositivi con versioni di Android precedenti alla v.5 (Lollipop). Gli utenti devono concedere al malware autorizzazioni di root perché possa sabotare il processo di arresto.
Dopo che l'utente ha premuto il pulsante di accensione, il telefono mostra un'animazione di arresto autentica, come se fosse stato effettivamente spento. Ma benché lo schermo sia nero, il telefono è ancora acceso.
Mentre il cellulare è in questo stato, lo spyware Android/PowerOffHijack può effettuare chiamate in uscita, scattare fotografie ed eseguire molte altre operazioni senza notificarlo all'utente.
In che modo?
Analisi del processo di arresto di Android
Nei dispositivi Android, quando si preme il pulsante di accensione, il malware chiamerà la funzione interceptKeyBeforeQueueing. interceptKeyBeforeQueueing verificherà che il pulsante sia stato premuto e quindi continuerà con il processo seguente.
Quando il pulsante di accensione viene rilasciato, verrà chiamata interceptPowerKeyUp, che attiva a sua volta un altro processo eseguibile.
Stando al frammento di codice sopra riportato, l'opzione LONG_PRESS_POWER_GLOBAL_ACTIONS indica che verranno eseguite alcune azioni dopo che il pulsante di accensione è stato rilasciato. showGlobalActionsDialog aprirà una finestra di dialogo per consentire di impostare il telefono su spento, disattivare la suoneria o attivare la modalità aeroplano.
Se si seleziona l'opzione per lo spegnimento, il malware chiamerà mWindowManagerFuncs.shutdown.
Ma mWindowManagerFuncs è un oggetto di interfaccia, che chiamerà effettivamente la funzione di arresto ShutDownThread. ShutDownThread.shutdown coincide con l'avvio effettivo del processo di arresto. Per prima cosa verrà arrestato il servizio di connettività e si chiamerà il servizio di gestione dell'alimentazione per spegnere il dispositivo.
Alla fine, all'interno del servizio di gestione dell'alimentazione verrà chiamata una funzione nativa per lo spegnimento.
Dal momento che mWindowManagerFuncs.shutdown disattiva i servizi di connettività del telefono, eventuale malware che intenda sabotare il processo di spegnimento dovrebbe interferire prima che si attivi questa funzione. Vediamo come procede Android/PowerOffHijack.
Analisi del malware
Per prima cosa, Android/PowerOffHijack richiede un'autorizzazione di root. Dopo averla ottenuta, lo spyware inserirà il processo system_server e installerà un hook dell'oggetto mWindowManagerFuncs.
A questo punto, quando premi il pulsante di accensione, vedrai una finestra di dialogo contraffatta invece di quella autentica di Android. E se scegli di spegnere il telefono, comparirà un'animazione di arresto fittizia, che lascia il dispositivo acceso ma lo schermo spento.
Infine, per indurti a credere che il cellulare sia veramente spento, dovrà essere installato un hook anche per alcuni servizi di trasmissione di sistema.
Vediamo qualche esempio:
Registrazione di una chiamata
Trasmissione di messaggi privati
Difenditi dallo spyware con AVG AntiVirus per Android
Anche lo spyware più subdolo come Android/PowerOffHijack non ha scampo con AVG AntiVirus per Android. Il nostro strumento completo per la protezione mobile eseguirà una scansione del tuo dispositivo per rilevare e rimuovere il malware e ti terrà al sicuro anche da attacchi futuri. Proteggi i tuoi dispositivi da spyware, virus e altri tipi di malware e fai in modo che i tuoi dati non finiscano nelle mani sbagliate anche nel mondo reale grazie al tracciamento integrato del telefono Anti-Theft.