Introduzione
Nell’ultimo aggiornamento dei servizi Google Play, è stata introdotta una funzione di riavvio automatico per i dispositivi Android. Questa novità potrebbe complicare l’estrazione dei dati utilizzando strumenti forensi moderni.
Stato di Sicurezza dei Dati
Quando il telefono è acceso, entra nello stato “Prima del Primo Sblocco“, in cui la maggior parte dei dati degli utenti rimane crittografata. Al contrario, dopo il primo sblocco, nello stato “Dopo il Primo Sblocco” (AFU), i dati diventano accessibili per l’estrazione.
Minacce Malware e Vulnerabilità
Grazie alla nuova funzione, il dispositivo si riavvierà automaticamente se resta inattivo per 72 ore. I ricercatori di Dr.Web hanno segnalato la presenza di applicazioni trojan preinstallate in copie a basso costo di smartphone Android premium dei marchi Samsung e Huawei.
Tra i programmi compromessi ci sono i messaggeri WhatsApp e Telegram, scanner di codici QR e altro ancora. Il malware, denominato Shibai, intercetta il processo di aggiornamento delle app e cerca nelle chat indirizzi di portafogli crypto Ethereum o Tron, sostituendoli con indirizzi fraudolenti. Inoltre, scansiona le immagini salvate per identificare le frasi seed.
Gli attaccanti utilizzano circa 30 domini per distribuire il malware e oltre 60 server di comando. Negli ultimi due anni, i portafogli degli organizzatori dello schema hanno ricevuto oltre 1,6 milioni di dollari. I ricercatori di Coinspect hanno scoperto vulnerabilità critiche nei portafogli browser Stellar Freighter, Frontier Wallet e Coin98, che consentono di rubare beni senza essere scoperti.
Sfide nella Sicurezza dei Portafogli
Per connettersi ai dapps, i portafogli browser iniettano codice in ogni scheda visitata dall’utente, stabilendo un canale di comunicazione. Questo consente all’app di riconoscere il portafoglio e richiederne l’accesso a funzioni chiave, come la visualizzazione del saldo o l’inizio di richieste di approvazione delle transazioni.
I messaggi vengono trasmessi allo Script di Background, che ha accesso alla chiave privata. L’interazione finale avviene nell’interfaccia del portafoglio. A differenza delle connessioni a lungo termine, che creano canali separati per diverse parti dell’estensione, questo approccio non presenta tale separazione.
Un attaccante può deliberatamente causare confusione inviando un messaggio a un’API privilegiata tramite un listener nello script di background. Le richieste malevole imitano quelle legittime e possono portare alla visualizzazione della frase seed per motivi di backup. Gli esperti hanno comunicato i dettagli sulla vulnerabilità agli sviluppatori di tutti e tre i portafogli, e finora tutti hanno implementato le necessarie correzioni.
Attacco a 4chan
Il 14 aprile, il forum online 4chan ha subito un attacco grave e ha sospeso le operazioni. I membri dell’imageboard Soyjak.party hanno rivendicato la responsabilità per l’incidente.
Screenshot dei pannelli di controllo dell’amministratore e dello staff, insieme a un elenco di email presumibilmente appartenenti ai leader e ai moderatori della piattaforma, sono stati trapelati online. Come riporta Bleeping Computer, la potenziale intercettazione degli strumenti di manutenzione consente agli hacker di ottenere accesso alla posizione e all’indirizzo IP di qualsiasi utente e alla possibilità di riavviare qualsiasi board su 4chan e gestire banche dati.
Più tardi nella stessa giornata, il codice sorgente del forum è comparso su Kiwi Farms. I presunti hacker non hanno rivelato il vettore dell’attacco; secondo la comunità, la causa potrebbe essere la versione obsoleta di PHP della piattaforma risalente al 2016.
Per minimizzare i danni, gli amministratori hanno presumibilmente spento i server. Al momento della scrittura, il sito non è disponibile.
Acquisto di Account e Richieste di Rimozione
La compagnia svizzera di cybersecurity Prodaft ha annunciato l’acquisto di account da forum darknet, cercando in particolare account su XSS, Exploit, RAMP4U, Verified e BreachForums registrati prima di dicembre 2022. Ai proprietari viene garantito un pagamento in criptovaluta, con un importo maggiore per gli account di moderatori o amministratori.
Gli account non devono figurare nella lista dei più ricercati da alcuna agenzia di law enforcement. Inoltre, come parte di questa iniziativa, gli utenti possono segnalare anonimamente crimini informatici commessi da terzi. L’affare avviene in modo anonimo utilizzando canali di comunicazione sicuri.
Successivamente, i dati ottenuti senza informazioni sul venditore saranno trasferiti alle forze dell’ordine per essere utilizzati in operazioni HUMINT e infiltrazioni di comunità cybercriminali chiuse.
Richieste di Contenuti su Reddit
In un altro aggiornamento, la piattaforma americana Reddit ha ricevuto 122 richieste di rimozione di contenuti da parte di agenzie governative e forze dell’ordine di vari paesi nella seconda metà del 2024. In particolare, la Russia ha inoltrato 15 richieste uniche, di cui il social network ha soddisfatto solo quattro (26%). Secondo il rapporto, meno di un terzo dei contenuti richiesti (27%) ha effettivamente violato le regole della piattaforma.
Il geoblocking non è stato applicato in nessun caso. Il maggior numero di richieste (24) è stato inviato dalle autorità degli Emirati Arabi Uniti. Inoltre, complessivamente 27 richieste legali sono risultate false, e Reddit ha informato le forze dell’ordine al riguardo.
