Go, il linguaggio di Google, è stato usato per creare un nuovo trojan

Mascotte di Google GoEncriyoko è un trojan, scoperto sabato scorso da Symantec, che utilizza Go — il linguaggio di programmazione annunciato da Google nel 2009. Go, sostanzialmente ispirato a C, è disponibile con App Engine e nel marzo di quest’anno ha raggiunto il 66° posto del TIOBE: un indice che valuta la diffusione dei linguaggi. È piuttosto difficile trovare delle applicazioni che prevedano l’impiego di Go, ma a quanto pare ha attratto gli sviluppatori di malware che l’hanno inserito fra i componenti d’un presunto rootkit per il Galaxy Nexus.

A provocare l’infezione da Encriyoko è GalaxyNxRoot.exe, un eseguibile in .NET che dovrebbe servire a ottenere i privilegi d’amministrazione sullo smartphone prodotto da Samsung con Android: avviato da Windows, il programma non interagisce col dispositivo e procede all’esecuzione di due file – ovvero, %Temp%PPSAP.exe e %Temp%adbtool.exe – che sono entrambi scritti in Go. Questi presentano delle caratteristiche differenti che comunque non hanno nulla a che vedere con gli smartphone e/o col sistema operativo distribuito da Google.

PPSAP.exe è un trojan che raccoglie delle informazioni sui processi in esecuzione, gli utenti di sistema, gli indirizzi Media Access Control (MAC), ecc. inviandoli a golang.iwebs.ws. Invece, adbtool.exe - che ha lo stesso nome dello strumento di debugging del Software Development Kit (SDK) per Android su Windows - scarica un archivio compresso chiamato zdx.tgz da sourceslang.iwebs.ws e crittografa i file presenti sul sistema infetto rendendoli inutilizzabili. È la prima volta che Go viene utilizzato per la creazione di malware.

Via | Symantec

  • shares
  • Mail