Cybercriminali sono riusciti a distribuire del malware integrato in app Android apparentemente innocue, scaricate migliaia di volte da Google Play Store da ignari utenti di dispositivi del robottino verde.
Il malware era nascosto all’interno di app distribuite sul Google Play Store, camuffato all’interno di sette diverse app – sei reader per i codici QR e una “bussola smart” – bypassando i controlli di sicurezza con tecniche che nascondevano le vere intenzioni grazie a una combinazione ingegnosa di codice e un meccanismo che ritardava l’attacco iniziale.
Dopo che l’utente scaricava una delle app “malevole”, il malware non agiva per sei ore; passato questo tempo, le app iniziavano ad attuare il reale obiettivo: mostrare adware, inondando l’utente con pubblicità a tutto schermo, aprire pagine web con pubblicità e mostrare notifiche con annunci e link relativi. Lo scopo era ovviamente quello di guadagnare obbligando l’utente a visitare i siti con gli annunci, anche quando l’app vera e propria non era attiva in background.
Della scoperta riferisce SophosLabs che ha denominato il malware “Andr/HiddnAd-AJ” facendo sapere che ha infettato almeno un milione di utenti giacché solo una delle app “incriminate” è stata scaricata 500.000 volte prima di essere rimossa da Google.
Al primo avvio delle app apparentemente innocenti, queste si configuravano leggendo informazioni su un server controllato dai cybercrimnali dietro allo schema. Per nascondere la vera natura delle app, queste – come già accennato – non effettuavano operazioni malevole per almeno sei ore. Dopo avere individuato il malware, Sophos ha avvisato Google e questa ha rimosso le app incriminate dal Play Store.
Un diverso problema su Android è stato recentemente individuato dal team di ricerca di Check Point Software Technologies, società israeliana specializzata in sicurezza informatica. I ricercatori hanno individuato una nuova famiglia di malware che ha già colpito quasi 5 milioni di dispositivi Android.
Secondo quanto riportato dagli esperti, il malware, denominato RottenSys, ha iniziato a propagarsi a settembre 2016. Al 12 marzo 2018, i dispositivi infettati (smartphone e tablet) erano precisamente 4.964.460. Tra i brand più colpiti Honor, Huawai e Xiaomi come indicato nel blog della società di sicurezza.
RottenSys è precisamente un adware, ossia un programma malevolo che raccoglie informazioni sulle operazioni effettuate dall’utente e visualizza periodicamente sul display del dispositivo del malcapitato messaggi pubblicitari ovviamente non richiesti e fraudolenti. L’elemento più incredibile della vicenda è che il malware non è stato contratto dopo l’acquisto, ma è stato preinstallato sui dispositivi all’interno della catena di montaggio. Questa tecnica di pre-installare malware o adware sui dispositivi non è comunque insolita ne abbiamo già parlato anche in questo articolo.
RottenSys è un malware che non viene rilevato con facilità. Infatti appare come un servizio innocuo ad un primo controllo, sotto forma di un servizio Wi-Fi, ma di fatto non è legato a nessun servizio wireless. Però, come molti malware, è capace di collegarsi al server principale installando in seguito componenti malevoli in grado di effettuare operazioni non autorizzate dall’utente.
Il malware inizialmente era specializzato solamente nel mostrare pubblicità ingannevole sullo smartphone (e lo continua a fare tuttora, tanto che gli hacker guadagnano circa 100.000 euro ogni dieci giorni solo tramite gli annunci pubblicitari), ma con il tempo si è evoluto e offre la possibilità agli hacker di prendere il controllo dello smartphone da remoto e di installare applicazioni senza che l’utente se ne accorga.
