La leggenda dei vichinghi che assediano e saccheggiano i beni e danno alle fiamme i villaggi conquistati, è vivo e vegeto nel più recente scenario dei malware Android. A quanto pare, non solo esistono ancora, ma sono addirittura pericolosamente molto vicini. Nel mese di aprile, i ricercatori ‘Checkpoint’ hanno scovato un gruppo di malware che sono riusciti in qualche modo a violare il Google Play, sono entrati nell’elenco delle App del negozio, e hanno attaccato i telefoni Android su cui sono state installate. Alcune di loro addirittura, sono salite ai vertici per il numero di download, prima che gli utenti hanno iniziato a percepire qualcosa di sbagliato con la loro installazione, ed abbassato la loro classifica con commenti e valutazioni negative.
Ecco l’elenco delle applicazioni incriminate:
- Viching Jump
- Wi-Fi Plus
- Parrot Copter
- Memory Booster
- Simply 2048
Le sopraelencate App (3 giochi e 2 App per la precisione) sono risultate contenere dei componenti dannosi che iniziano la loro attività subito dopo il lancio iniziale. Due “binaries” con lo stesso nome dei file di sistema Android, vengono installati nella memoria interna, insieme ai binaries che vengono utilizzati per lo scambio di informazioni: tra le parti del malware e quelle benevole di sistema, avviene un dialogo diretto, e i dati sensibili fino a quel momento blindati, vengono intercettati dal malware che se ne appropria subdolamente. Pericolo ancora più grande per i dispositivi con permessi di root: se il sistema del dispositivo è senza il blocco originale infatti, due ulteriori componenti vengono installati per lo scopo di attacco del malware. Indipendentemente dal fatto se si ha accesso al root o no, comunque il malware si connette al suo server di comando e controllo, e riesce a leggere i valori della carica della batteria del dispositivo, il tipo di connessione dati e il numero di telefono.
A questo punto, il server apre una connessione proxy in grado di inviare e ricevere informazioni tra server e dispositivo secondo il capriccio dell’hacker. In questo caso, i dispositivi vengono dirottati per simulare i click sulla pubblicità on-line e generare profitti. Alcune delle applicazioni possono anche inviare messaggi SMS a pagamento, e il proxy permette attacchi DDoS, spamming, e l’esecuzione di codici in remoto. Il dispositivo praticamente diventa un burattino degli hacker.
Il controllo di sicurezza ha rintracciato il 44% delle infezioni in Russia, dove si trova la prevalenza di Android 4.4. Le versioni di sistemi operativi successivi (Lollipop e Marshmallow) hanno un rigoroso controllo delle autorizzazioni, in tal modo il malware che si basa su set di autorizzazioni molto sospette, ha meno probabilità di ottenere il passaggio alla installazione. Ahimè, i ricercatori non hanno fatto raccomandazioni su cosa si potrebbe fare in caso di infezione. Si spera, nell’arrivo di un antivirus decente che sarà in grado di portare le cose in ordine.