Chrome Android browser sicuro? Grande dilemma...

[filips]

Salve. Sto avendo esperienza di una cosa strana. Da Chrome, caricando una pagina specifica, ottengo sistematicamente download automatico di 1 malware: due tipologie che si alternano tra un caricamento e l'altro. Eset li rileva ogni volta, ma non credevo fosse possibile ottenere un tale risultato, un simile banale buco in difesa oggigiorno, eppure ho letto che qualcosa di simile accade anche in scenari desktop (https://www.ilsoftware.it/articoli.a...in-vista_15531), cioè è proprio il browser che fa questa cosa cretina di portare in Download file extra costruzione della pagina web! Il risultato sul versante Android sembra in effetti simile, poiché uno dei 2 file Eset me lo segnala come minaccia grave in quanto in grado di connettersi verso remoto e altre operazioni subdole analoghe a quelle per Windows segnalate nell'articolo linkato.

Potrei anche riportare il link incriminato (e l'imbecille che lo ha esposto pubblicamente in una sua pagina) a scopo di studio del meccanismo, ma non vorrei che...

E per fortuna che sul Playstore decantano la sicurezza del browser...

Che ne pensate?

[Vincent.Zeno]

il link postato è scritto male: non corrisponde a una pagina

Potrei anche riportare il link incriminato (e l'imbecille che lo ha esposto pubblicamente in una sua pagina) a scopo di studio del meccanismo, ma non vorrei che...

appunto: non postarlo.

creare un download automatico non è complicato. il browser non ha un reale antivirus interno, se non sistemi di auto protezione e identificazione di pericoli reali o possibili. la collaborazione di chrome con eset da i suoi risultati, ma non possiamo (almeno al momento) considerare il browser un antivirus completo.

[filips]

il link postato è scritto male: non corrisponde a una pagina

creare un download automatico non è complicato. il browser non ha un reale antivirus interno, .

L'articolo era questo.

Che sia semplice mi risulta nuovo. Studiando Javascript avevo visto che il codice era strutturato proprio allo scopo di rendere impossibile questa eventualità. Altro discorso per i reindirizzamenti, che apparivano una banalità; che poi il browser implementi (quantomeno ci provi) sistemi per inibirli è un altro discorso...

Quello che non capisco è, almeno a grandi linee, come una cosa così pericolosa come la scrittura sul sistema possa passare indisturbata. JS, come ho detto, mi pare impossibile. Col php, forse? Mi puoi dare qualche breve indizio/spiegazione?

Un'ultima cosa: il file incriminato (quello, tra i 2 menzionati, a codice rosso) è in effetti un malware parecchio tossico, una variante del trojan Android/Hiddad.xf; non metto il link, ma ti dico che in Virustotal, circa il 70% degli AV è arrostito. In proposito, io ti vorrei chiedere:

1) questo malware, come anche detto nell'articolo che ho linkato, per attivarsi necessita di una apertura da parte dell'utente?

2) come detto, l'ho uploadato per analisi su Virustotal: una azione del genere equivale ad una apertura da file manager? (A priori non direi; l'uploader non dovrebbe leggere nulla, se non un flusso indistinto di dati non interpretabili, da fare poi leggere al sistema remoto Virustotal, ma non ne sono affatto sicuro...

3) mi sai spiegare perché in 2 o 3 casi (avevo ripetuto l'evento a scopo di indagare/testare), mentre cercavo di inviare il file a Virustotal, o magari subito dopo l'upload, il malware risultava scomparso dal file manager che fino a poco prima ne visualizzava icona e nome (assente anche previa ricerca nel f.manager), senza che io avessi ancora ordinato a Eset di risolvere rimuovendo tutto?

[Vincent.Zeno]

forzare il download da un server non è complicato, con semplice ricerca avrei parecchie spiegazioni nel diversi linguaggi. è normale procedura che si applica, quando necessario, nei vari progetti web.

il problema sta nel cosa si invia al client.
dall'articolo si evince che si tratta di una shell che invoca un'immagine remota. all'istante non è facile capire che si tratta di una minaccia perché il malware non c'è ancora. e comunque c'è abilità nel non farsi riconosce come possibile minaccia.

il discorso dell'identificazione del pericolo si perfeziona quando il software di protezione della macchina ha identificato almeno una volta l'anomalia. sia che sia l'antivirus sia che sia l'auto protezione del SO. anche a me è capitato (su win10) che alcuni file minacciosi siano stati identificati e distrutti: o all'apertura delle cartella che li contiene, o durante un trasferimento. l'azione di selezionare file, o visualizzarlo in cartella o trasferirlo, lo rende scansionabile all'istante dai sistemi di protezione, ma anche auto eseguibile.

spero di esserti stato utile

[filips]

Molto utile (penso non solo a me) e chiaro.

Ho cercato in giro; sembrerebbe che per forzare server-client da browser, ci si debba avvalere del php; per azioni più intricate (extrabrowser), invece, pare esistano metodi più complicati che si avvalgono dei vari linguaggi (C, python..); quest'ultima casistica non rientra però in quella oggetto della mia richiesta, in quanto azioni del genere mi sono note.

Per il resto, non posso a questo punto fare a meno di recitare la parte del paziente"ipocondriaco" dal dottore

In base a quanto mi hai detto:

1) evinco che anche un semplice trasferimento (il mio caso! pur non avendo effettuato apertura e nemmeno selezione a schermo) innesca la autoeseguibilità, quindi

2) mi suggeriresti un hard reset del telefono oppure

3) ritieni che il fatto che sia sparito(*) il file in concomitanza con l'invio a Virustotal, rientri nell'altra eventualità di autoprotezione del sistema Android da te prospettata? (Nota: la scansione approfondita dell'AV fatta subito dopo quei test, non rilevava niente)

(*) cioè, questa sparizione mi fa sorgere il dubbio: il file sparisce proprio perché si attiva, iniziando quindi la sua attività deleteria sul sistema; ossia un file virus, iniziando la sua azione, in primo luogo si cancellerà dalla posizione Download, non appena si sarà trasferito altrove, in modo da rendersi non più identificabile dall'AV e dal SO, e avrà apportato le modifiche opportune alle sezioni critiche del sistema grazie alle quali poi proseguirà indisturbato il suo cammino?