Come creare un virus sms

Ricercatori hanno scoperto un nuovo tipo di attacco di phishing "avanzato" rivolto ai telefoni Android che può indurre gli utenti a installare impostazioni dannose sui loro dispositivi che sono mascherati come innocenti aggiornamenti della configurazione di rete.

L'attacco di spoofing, rivelato dalla società di cybersicurezza Check Point Research, ha successo sulla maggior parte dei moderni telefoni Android.

Secondo il rapporto, lo stratagemma di phishing sfrutta il provisioning over-the-air (OTA) - una tecnica spesso utilizzata dagli operatori di telecomunicazioni per distribuire le impostazioni specifiche del vettore sui nuovi dispositivi - per intercettare tutte le e-mail o il traffico web da e verso i telefoni Android utilizzando messaggi SMS fasulli appositamente creati.

"Un agente remoto può indurre gli utenti ad accettare nuove impostazioni del telefono che, per esempio, indirizzano tutto il loro traffico internet per rubare le e-mail attraverso un proxy controllato dall'attaccante", hanno scritto i ricercatori Artyom Skrobov e Slava Makkaveev.

La vulnerabilità può essere sfruttata in ogni momento della giornata, finché i telefoni sono collegati alle reti dei loro operatori. Gli hotspot Wi-Fi, tuttavia, non sono colpiti.

Ironicamente, tutto ciò di cui un criminale informatico ha bisogno è un modem GSM, che può essere utilizzato per inviare un messaggio di provisioning fasullo ai telefoni suscettibili entrando in possesso del loro numero IMSI (International Mobile Subscriber Identity), una stringa unica legata ad ogni dispositivo che è unica per ogni utente di una rete cellulare.

Il messaggio di provisioning segue un formato - chiamato Open Mobile Alliance Client Provisioning (OMA CP) - specificato da Open Mobile Alliance. Ma sono anche debolmente autenticati, il che significa che un destinatario non può verificare se le impostazioni suggerite provengono dal loro vettore o da un truffatore che cerca di eseguire un attacco man-in-the-middle.

I telefoni Samsung sono stati i più facili da attaccare, con nessuna forma di autenticazione necessaria per installare un messaggio OMA CP. Di conseguenza, un attaccante potrebbe potenzialmente cambiare il server dei messaggi MMS, l'indirizzo proxy per il traffico Internet, la homepage del browser e i segnalibri, il server di posta elettronica e qualsiasi server di directory per la sincronizzazione dei contatti e del calendario.

D'altra parte, i dispositivi di Huawei, LG e Sony erano relativamente più sicuri, poiché richiedevano al mittente del messaggio di provisioning di fornire il codice IMSI del telefono prima di accettare il messaggio.

Tuttavia, i ricercatori di Check Point hanno notato di essere facilmente in grado di identificare il numero IMSI di un obiettivo utilizzando un servizio di ricerca inversa IMSI disponibile tramite fornitori commerciali.

Inoltre, con oltre un terzo di tutte le app Android che hanno accesso al codice IMSI di un dispositivo tramite l'autorizzazione "READ_PHONE_STATE", un attore minaccioso può facilmente utilizzare un'app dannosa che fa trapelare il codice IMSI in questo modo per colpire utenti specifici con falsi messaggi OMA CP.

Dopo che Check Point ha rivelato privatamente i suoi risultati a marzo, tutte le aziende tranne Sony hanno rilasciato patch o hanno in programma di risolvere la vulnerabilità nelle prossime versioni. Samsung ha affrontato la falla nel suo aggiornamento di sicurezza di maggio (SVE-2019-14073), mentre LG l'ha risolta a luglio (LVE-SMP-190006).

Huawei intende inserire l'exploit nei suoi prossimi smartphone, secondo Check Point, ma non è del tutto chiaro se la guerra commerciale USA-Cina causerà ulteriori complicazioni. Sony, da parte sua, sta attualmente attenendosi alle attuali specifiche OMA CP, con OMA che segue questo problema separatamente.

Gli attori di minacce hanno a lungo cercato vari metodi per mettere in scena tutti i tipi di attacchi di phishing. Ma l'idea che un aggressore possa inviare messaggi SMS personalizzati per modificare le impostazioni di rete e internet nel dispositivo attraverso campagne intelligenti di ingegneria sociale è un promemoria che gli attacchi di phishing non sono solo limitati alle e-mail.

Anche se il modus operandi dettagliato da Check Point richiede un intervento umano, non c'è un modo semplice per un utente ignaro di determinare l'autenticità di questi messaggi.

Il risultato, in definitiva, è che si dovrebbe essere vigili sull'installazione di qualsiasi cosa non fidata sul proprio dispositivo, in particolare le cose che vengono consegnate tramite messaggi di testo o collegate nei testi.

"Gli attori delle minacce stanno diventando sempre più bravi ad estrarre informazioni al di fuori degli hotspot Wi-Fi ogni singolo giorno", hanno detto i ricercatori. "Dovremmo essere tutti in allerta, soprattutto quando non siamo connessi agli hotspot Wi-Fi pubblici."