Su Google Play, lo store ufficiale per le app destinate ai dispositivi Android, è stata individuata un’app nella quale è presente un ransomware denominato “Charger” e la variante del malware per dispositivi mobili “HummingBad” è stata individuata all’interno di 20 diverse app.
L’hanno reso noto i ricercatori di Check Point Software Technologies, azienda specializzata in cybersicurezza, spiegando che le app infettate da questa nuova minaccia sono state scaricate milioni di volte da utenti inconsapevoli. Check Point ha informato il team di sicurezza di Google di questo pericolo, e le app sono state rimosse da Google Play.
Il ransomware “Charger”, individuato nell’app EnergyRescue, una volta installato ruba SMS, contatti e chiede accesso con i diritti di amministratore. Dopo l’installazione, blocca il dispositivo chiedendo il pagamento di un riscatto in Bitcoin (circa 180$) per lo sblocco del dispositivo. Dopo avere infettato il dispositivo dell’utente, il ransomware minaccia che tutti i dati sono stati copiati su un server controllato dai cybercriminali e che, in caso di mancato pagamento del riscatto, tutti i dati – inclusi quelli di social network, dati relativi a carte di credito, conti corrente, ecc. verranno messi in vendita sul mercato nero, sfruttati per spam, creare falsi account, crimini bancari, ecc.
Check Point spiega che in quattro giorni dalla disponibilità l’app EnergyRescue è stata scaricata da pochi utenti prima che Google si accorgesse del problema. Anche questo malware è composto da codice ricercato creato in modo da nascondere la sua vera natura. Di fatto, Android continua a essere l’obiettivo preferito dai cybercrimnali. Google ha migliorato i meccanismi di controllo, ma il sistema non è perfetto ed esistono numerosi trojan per Android capaci di ottenere i privilegi di accesso, ovvero l’accesso root; molti si limitano a riempire di pubblicità le loro vittime, ma non mancano sistemi molto più pericolosi in grado di emettere in serio pericolo i dispositivi e i dati delle vittime.
La variante di malware, chiamata HummingWhale, utilizza tecniche innovative per perpetrare i crimini ancora meglio di prima. Già HummingBad, infatti, era un malware estremamente ricercato, in grado di prendere il pieno controllo del dispositivo della vittima, ed è stata solo questione di tempo perché riuscisse a trovare un varco su Google Play. La versione HummingWhale, infatti, ha destato i primi sospetti non appena i ricercatori hanno analizzato alcune di queste app, che hanno rivelato comportamenti e un codice sospetti.
Tutte le app incriminate sono state caricate sotto false identità di presunti sviluppatori cinesi. La proprietà più sospetta rinvenuta in queste app è un file crittografato di 1.3MB, sospetto anche per la grandezza, in comune con alcune forme di HummingBad. In generale, HummingWhale agisce sfruttando un server Command&Control, che trasmette adv e app false al malware installato, che le propone a sua volta all’utente. Una volta che quest’ultimo cerca di chiudere l’adv, l’app, che è stata precedentemente installata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un’ID referred falsa, utilizzata dal malware per generare gli introiti per i criminali.
Questa tecnica offre molteplici vantaggi: per prima cosa, permette al malware di installare app senza chiedere permessi avanzati, nasconde l’attività malevola, riuscendo così a insidiarsi in Google Play, non è più legata al rootkit e, infine, riesce a installare una quantità infinita di app fraudolente, senza sovraccaricare il dispositivo.