Malware di fabbrica in alcuni feature phone russi

Vi abbiamo già parlato dei feature phone e del perché siano ancora così tanto venduti nonostante la loro apparenza "anacronistica". Non solo in Italia, ovviamente, ma in tutto il mondo. Un'analisi fatta in Russia ha però svelato che alcuni di questi telefoni presentano dei malware preinstallati che possono creare non pochi problemi. Lo studio-inchiesta è partito da un comune utente russo, che si fa chiamare ValdikSS. Sul suo profilo Twitter si presenta come appassionato di tecnologia e di sicurezza software e hardware e si è trovato in prima persona ad avere un'esigenza che coinvolgeva alcuni dei feature phone più venduti in Russia. ValdikSS si è domandato se questo tipo di telefoni potessero essere ancora usati come modem connessi a un pc, per gestire una semplice interfaccia di invio/gestione sms. L'economicità di questi dispositivi e il fatto che alcuni di questi siano multi-sim (fino a 4) li renderebbe comodi anche per questo tipo di attività, oltre che per telefonare. Il fatto che però questa non sia una funzione usuale rendeva difficile il reperimento di informazioni circa le performance.

L'esperimento

ValdikSS ha quindi acquistato 5 diversi feature phone, distinguendoli sulla base del sistema operativo a bordo e soprattutto di quanto presente sotto la scocca. Il "cuore" del telefono è rappresentato dal processore, le istruzioni che lo fanno funzionare sono il firmware. In questo caso i tre processori presi in esame sono RDA, Spreadtrum e Mediatek, mentre i firmware che li fanno funzionare sono personalizzati (a volte in maniera anche molto specifica e univoca) dai produttori dei telefoni. Incrociando questi processori con i firmware più diffusi a loro associati, sono venute fuori cinque combinazioni prevalenti, corrispondenti a questi modelli di feature phone:

• Inoi 101
• DEXP SD2810
• Itel it2160
• Irbis SF63
• F + Flip 3

Sono tutti modelli che costano tra i 10 e 15 euro, facilmente reperibili online e nei negozi fisici.

Una volta messi in funzione, però, sono subito iniziate delle attività "strane". Credito telefonico eroso senza apparente motivo, sms ricevuti e comportamenti anomali del terminale facevano credere che ci fossero delle "funzioni nascoste" e non dichiarate che inducessero i terminali ad azioni dannose per l'utente.

Il malware preinstallato

Non ci è voluto molto per capire che si trattava di un vero e proprio malware che utilizzava le informazioni del telefono e soprattutto della sim. L'attività anomala è stata classificata in tre tipi:

• Invio di sms e accesso a internet per tracciare le vendite. Alla prima accensione, il telefono va online e invia un sms a un numero russo trasmettendo il proprio IMEI e l'IMSI della scheda sim. Apparentemente questa funzione servirebbe per tracciare le vendite del modello, ma si ripete ogni volta che si rimuove la batteria o si effettua un ripristino di fabbrica. L'utente non vede nulla, non si accorge di nulla ed è totalmente inconsapevole della cosa. Non si tratterebbe di nulla di dannoso di per sé, non è però chiaro a chi vengano inviate le informazioni, di conseguenza non è possibile monitorarne l'utilizzo.
• Sms in entrata intercettati e inviati a un server. Alcuni firmware intercettano i gli sms in arrivo e ne carpiscono il numero del mittente, riutilizzandolo per registrarsi su servizi a pagamento. Il telefono va periodicamente online e riceve comandi da un server, che intercetta poi anche le risposte a questi comandi. Si tratta a tutti gli effetti di una backdoor malevola.
• Accessi a internet per inviare sms a pagamento. I telefoni si collegano a internet (funzione dichiaratamente non disponibile) consumando il credito, in quanto chi compra questi apparecchi generalmente non stipula pacchetti che comprendano dei giga per navigare. Successivamente inviano sms a numeri brevi, anche questi a pagamento, e risponde anche in maniera autonoma ai messaggi di conferma che riceve. Comportamento tipico dei trojan.

Dopo aver notato delle attività anomale, ValdixSS ha richiesto i tabulati ai gestori e ha iniziato a recuperare le prime conferme ai suoi sospetti. Attraverso dei tool di debugging disponibili online ha poi letteralmente "aperto" i firmware per dimostrare l'esistenza di codice malevolo installato direttamente in linea di produzione. Alcune recensioni lasciate da altri acquirenti russi su vari marketplace online hanno confermato la capacità di questi telefoni di inviare sms senza alcun input, capacità che si traduce in perdita di credito telefonico. Non tutti i modelli presi in esame si comportano allo stesso modo. Si va dal più "pulito" Inoi 101 ai più letali Irbis SF63 (molto simile nell'aspetto - e forse non solo nell'aspetto - a un modello famosissimo e vendutissimo in Italia) e DEXP SD2810, quest'ultimo stranamente sparito da tutti gli store online.

Un problema non solo russo

Va detto che questo è un problema che non riguarda solo la Russia. Dispositivi come quelli oggetto di questa indagine sono reperibili in qualunque parte del mondo, in qualsiasi negozio di elettronica. Questi cellulari vengono chiamati anche OEM, ovvero original equipment manifacture. Apparecchi "senza marca", provenienti da produttori che generalmente curano l'intera filiera. Sono conosciuti anche come "prodotti della casa madre". Non dovendo sostenere spese di marchio e pubblicità e abbattendo la filiera produttiva, i prodotti della casa madre hanno prezzi concorrenziali rispetto agli omologhi a marchio.Gli utenti poco esperti vengono attirati dai prezzi bassissimi e li acquistano, non sapendo di esporsi a rischi molto concreti di vere e proprie truffe telefoniche. Il produttore spesso commissiona il firmware a ditte terze, ma poi non controlla che queste non abbiano effettivamente disseminato malware nei codici. Oppure, ed è un altro sospetto, è complice dei programmatori di firmware per spartirsi il ricavo delle attività illecite. Come difendersi? Non acquistando apparecchi OEM, ma affidandosi solo a marchi famosi. Un feature phone Nokia può costare anche 4 volte di più di un OEM, ma offre molte più garanzie di sicurezza. Leggere le recensioni (se disponibili), può rivelarsi utile per non incappare in problemi di questo tipo. Se volete approfondire l'indagine completa, qui tutta la storia raccontata da ValdikSS, in russo.