Da tempo ormai il mondo dell’hacking per dispositivi mobile, sforma continue minacce in grado di monitorare il traffico di dati mobile anche nel caso in cui il dispositivo risulti off. A tratti potrebbe sembrare la trama di un film poliziesco eppure, il primo caso di malware spia per mobile che funziona anche quando il dispositivo è spento viene scoperto dall’azienda AVG nel 2015.
Il fenomeno del Power Off Hijacking infatti indica la presenza di malware a bordo di dispositivi (in particolare smartphone, tablet e pc) in grado di accedere alle informazioni del dispositivo anche quando quest’ultimo si trova spento.
Si tratta quasi sempre di spyware, ovvero malware dediti alle operazioni di intercettazione delle informazioni e della trasmissione di queste ultime a soggetti terzi senza alcuna autorizzazione.

- Android/PowerOffHijack, minaccia malware per smartphone off
- Processo di spegnimento di un cellulare: che cosa succede
- Come agisce PowerOffHijack
- A quali informazioni può accedere l’attaccante tramite PowerOffHijack
- Come si viene infettati
- Un malware di origini asiatiche
- Come prevenire il problema del PowerOffHijack
- Eliminare malware dal tuo smartphone
Nel 2015 per la prima volta si evidenziò la minaccia malware Power Off Hijack. Si trattava di un ceppo di virus informatico con le caratteristiche di uno spyware e di un trojan in grado di simulare il processo di arresto di alcuni smartphone Andoid.
Sembra che questo malware abbia iniziato a diffondersi attraverso gli App store per Android del paese nel quale è stato creato e che in fin dei conti si sia rivelata una cyber threat degna di nota. Quando la minaccia venne scoperta, si stimò che furono infettati migliaia di dispositivi Android non adeguatamente aggiornati. Nello specifico solo le versioni del sistema operativo antecedenti alla v.5(Lollipop) rilasciata a fine 2014 erano violabili.
Il normale processo di arresto di un dispositivo mobile prevede le seguenti fasi:
- L’utente fa una pressione prolungata sul tasto opportuno.
- Viene chiamata la funzione interceptKeyBeforeQueueing che verifica innanzitutto che l’utente abbia premuto il pulsante di arresto
- Al rilascio del pulsante, viene chiamata la funzione InterceptPowerKeyUp, per l’attivazione di un altro eseguibile
- La funzione .showGlobalActionsDialog apre una finestra di dialogo che permette la scelta tra spegnimento, modalità silenziosa e modalità aereo
- Se l’utente seleziona l’opzione di arresto viene chiamata shutdown
- Questa funzione di interfaccia chiama la funzione di arresto: ShutDownThread
- Quest’ultima interrompe la connettività e l’alimentazione.
Una volta chiaro quello che dovrebbe succedere possiamo analizzare come Android/PowerOffHijack altera questa procedura per i suoi fini:
- Il primo passo è ottenere dei permessi di root. Per simulare lo spegnimento in modo convincente, infatti sono necessari i privilegi di amministratore.
- Lo spyware si inserisce nel processo system_server e istalla una nuova funzione all’interno di mWindowManagerFuncs.
- Questa inserzione fa si che il malware si attacchi ad alcuni servizi di trasmissione che rendono possibile, ad esempio, la registrazione delle chiamate e l’invio e la ricezione di messaggi
- Quando l’utente preme il pulsante di arresto appare una finestra di dialogo contraffatta
- Se viene scelta l’opzione di spegnimento il malware proietta una animazione di spegnimento finta, sebbene estremamente realistica.
- Il dispositivo rimarrà quindi acceso seppure con lo schermo nero.
La peculiarità di un attacco PowerOffHijack consente di ingannare l’utente simulando lo spegnimento del dispositivo che nella realtà si trova sotto attacco malware.
Non arrivano chiamate, notifiche dalle app, messaggi e lo schermo risulta spento: in realtà questo è semplicemente un inganno messo in atto dalla minaccia. Infatti, il telefono è acceso e quindi a disposizione dell’attaccante: questo stato viene definito power off.
Se vi state chiedendo che cosa sono in grado di fare i malintenzionati con un dispositivo mobile in questo stato, vi forniremo una breve panoramica di ciò che accade.
Gli hacker tramite la tecnica di Power Off Hijacking possono curiosare silenziosamente le informazioni contenute nel dispositivo.
Nello specifico, l’interesse degli attaccanti sarà mirato ad accedere al microfono dello smartphone, alle informazioni contenute nei registri e nell’archivio del telefono. Come se non fosse sufficiente, questa tecnica di hacking aggancia le routine di spegnimento e riavvio per impedire che si verifichino mentre il dispositivo è in uso dall’attaccante.
Tra i veicoli di infezione sfruttati dalla minaccia Android/PowerOffHijack troviamo innanzitutto gli store di applicazioni di terze parti.
Quasi sempre, questo genere di infezioni si tramandano grazie al download di applicazioni infette.
Nella stragrande maggioranza dei casi, i pirati informatici hanno selezionato i programmi che sono più popolari su queste piattaforme non sicure.
A quel punto li infettano aggiungendogli eseguibili dannosi. Gli utenti, convinti di installare un’applicazione legittima, acconsentono a scaricare il malware.
Sottolineiamo quindi che, sebbene oltre 10000 dispositivi siano stati colpiti in poco tempo, rimanere infettati non è così semplice. Bisogna che tutte e tre le seguenti condizioni siano verificate allo stesso tempo:
- Per prima cosa è indispensabile aver fatto acquisti su app store poco raccomandabili (Google play store è sicuro da questo punto di vista)
- In secondo luogo è necessario che il vostro cellulare sia Android e che su di esso sia istallato un sistema operativo più vecchio di v5(Lollipop)
- Per finire, l’ultima condizione è che il malware riesca ad ottenere i permessi di root. Il che in principio dovrebbe essere vietato da una impostazione di default, ma potreste averla cambiata a mano.
Il che in realtà lo rende un malware prettamente asiatico. Infatti nei paesi asiatici l’accesso agli store ufficiali, in particolare di Google possono essere difficoltosi. Di conseguenza molti utenti decidono di correre il rischio di affidarsi a negozi virtuali meno raccomandabili.
Android/PowerOffHijack è un malware che appartiene ormai passato. Al giorno d’oggi non rappresenta più una minaccia. Tuttavia i malintenzionati sono sempre al lavoro per preparare spyware sempre più temibili e nulla ci può far escludere che questo malware, in una versione migliorata torni un giorno popolare.
Ci sono diverse azioni che ognuno dovrebbe intraprendere per mettersi al sicuro dall’eventualità di un attacco di questo tipo.
Innanzitutto la scelta degli store on line da utilizzare. Ce ne sono alcuni decisamente più famosi che hanno delle politiche di sicurezza che tutelano gli utenti finali. In queste piattaforme è assai raro trovare applicazioni fasulle o contraffate. Al contrario, nei negozi meno famosi e dalla reputazione meno solida, la probabilità di incappare in un malware è decisamente più alta.
Un’altra buona abitudine che viene spesso sottovalutata è l’aggiornamento dei sistemi operativi e di tutte le applicazioni aggiornabili che sono istallate su un dispositivo. Come anche questa storia ci conferma, le versioni più recenti, in cui i bug noti sono stati eliminati sono suscettibili a molti meno malware, di qualsiasi tipo.
Per ultimo è sempre bene possedere un soluzione di sicurezza antivirus e antimalware di buona qualità e costantemente aggiornata.
Come già accennato in precedenza, PowerOffHijack è un virus che si è diffuso prevalentemente in Cina (regione con più difficoltà ad accedere alle applicazioni google dagli store ufficiali) nel 2015, ad oggi esso non è più in circolazione.
Ad ogni modo, per eliminarlo dovrebbe essere sufficiente una scansione con un antivirus affidabile e aggiornato. Per precauzione, se avete il dubbio di essere sotto attacco, potete anche eliminare le applicazioni scaricate da fonti non affidabili.
Sicurezza Android: quali consigli seguire?
Oggi resta fondamentale occuparsi della sicurezza dei dispositivi Android al pari di quella di pc e server.
Vale davvero la pena approfondire il tema della prevenzione dai rischi informatici anche per tecnologie mobile considerata la loro diffusione su larga scala.
Nello specifico per difendersi dalla minaccia dei processi di Power Off Hijack basterebbe:
- Scaricare applicazioni Android unicamente dallo store ufficiale,
- Rimuovere immediatamente le applicazioni che non riconoscete dal vostro dispositivo,
- verificare sempre il rating di un’applicazione prima di scaricarla,
- Installare un’applicazione per la protezione antivirus sullo smartphone.
Mentre in generale, per mantenere sempre il vostro smartphone al sicuro, vi consigliamo di seguire questi semplici passi:
- Mantenere il dispositivo sempre aggiornato (sia il sistema operativo che le applicazioni)
- Utilizzare un sistema di blocco/sblocco del dispositivo sicuro;
- Ricorrete alle soluzioni di un password manager per accedere agli account da telefono
- Utilizzare sistemi di autenticazione e due o più fattori
- Rimuovere le applicazioni inutilizzate o sconosciute
- Assicuratevi che i sistemi di Trova il mio smartphone siano attivi e funzionanti.
In conclusione, per rispondere al quesito da cui eravamo partiti: è possibile rimanere vittime di un malware capace di utilizzare il vostro smartphone come arma contro di voi anche se appare spento. La buona notizia è che: con un po’ di conoscenza e qualche accortezza sul modo di utilizzare correttamente uno smartphone potete anche voi prevenire l’infezione di Power Off Hijack.
Ciononostante, questo non fa che rimarcare come, in sicurezza informatica non si possa mai sottovalutare la sicurezza dei dispositivi mobili.
- Autore articolo
- Ultimi articoli

Laureata in Fisica, sta proseguendo gli studi in “Fisica dell’atmosfera, climatologia e meteorologia” presso l’università di Roma Tor Vergata. Nel frattempo, unisce la sua passione per la scrittura a quella per la cybersecurity per promuovere la consapevolezza digitale attraverso il blog di Onorato Informatica.