Un malware di serie installato su alcuni smartphone Alcatel

In un’app per il meteo preinstallata di serie in alcuni smartphone Alcatel, è stato individuato un malware che, all'insaputa dell'utente, effettua telefonate a numeri a tariffazione speciale, apre di nascosto una finestra del browser e clicca su link pubblicitari.

Un malware di serie installato su alcuni smartphone Alcatel

In un’app per il meteo preinstallata di serie in alcuni smartphone Alcatel, è stato individuato un malware che, all’insaputa dell’utente, effettua telefonate a numeri a tariffazione speciale. L’app, denominata “Weather Forecast-World Weather Accurate Radar”, è sviluppata da TCL Corporation, azienda cinese proprietaria – tra le altre cose – dei brand Alcatel, BlackBerry, e Palm.

Il sito ZDNet spiega che l’app è installata per default su alcuni smartphone Alcatel ma è stata messa a disposizione anche sul Play Store dal quale è stata scaricata oltre 10 milioni di volte. Lo scorso anno a un certo punto sia l’app per dispositivi Alcatel, sia quella del Play Store è stata in qualche modo compromessa con un malware. Non è chiaro in che modo il malware sia stato integrato nell’app: TCL non ha risposto alla richiesta di chiarimenti di ZDNet.

Del malware in questione si è cominciato a parlare la scorsa estate dopo che Upstream, azienda del Regno Unito specializzata in sicurezza, ha individuato traffico di rete sospetto proveniente dagli smartphone di alcuni utenti. I ricercatori hanno inizialmente notato la raccolta di dati degli utenti, con elementi quali la localizzazione, l’indirizzo mail, i codici IMEI e altro inviti a server cinesi di TCL. L’app in questione non è ad ogni modo la sola che su Android raccoglie dati senza il permesso dell’utente e sono moltissime quelle che si comportano in questo modo.

Un malware di serie installato su alcuni smartphone Alcatel

L’app per il meteo installata di serie su alcuni smartphone Alcatel è stata causa di problemi per molti utenti in varie parti del mondo. In Brasile sono stati registrati e bloccati 2.5 milioni tentativi di transazione tra luglio e agosto 2018. I tentativi di transazione sono stati effettuati chiamando un numero a tariffazione speciale da 128.845 diversi dispositivi. Sempre in Brasile, un problema simile ma con obiettivo un diverso numero a tariffazione speciale, ha riguardato 428.291 dispositivi, con telefonate partite tutte da dispositivi Alcatel con l’app per il Meteo di serie. Problemi simili sono stati notati anche in Kuwait, Nigeria, Sud Africa, Egitto e Tunisia.

Upstream riferisce di avere bloccato in tutto 27 milioni di tentativi di transazione in sette diversi mercati. Il mancato blocco di questi tentativi di chiamate ammonterebbe a 1.5 miliardi di dollari. Oltre a chiamare di nascosto, l’app per il Meteo avvia una finestra nascosta del browser per caricare pagine web e cliccare automaticamente su alcuni annunci pubblicitari, consumando quindi anche traffico-dati all’insaputa degli utenti. I dispositivi di Alcatel indicati come “infetti”, sono i modelli Pixi 4 e A3 Max ma non è da escludere che il problema sia presente anche in altri modelli ancora. Ovviamente il problema riguarda anche gli utenti che hanno scaricato per conto proprio l’app Meteo di TCL dal Play Store. Google ha intanto rimosso l’app dal Play Store.

L’elemento più incredibile della vicenda è che il malware non è stato contratto dopo l’acquisto, ma è stato preinstallato sui dispositivi all’interno della catena di montaggio. Questa tecnica di pre-installare malware o adware sui dispositivi non è comunque insolita ne abbiamo già parlato anche in questo articolo.