I ricercatori israeliani di Check Point Software Technologies, azienda specializzata in sicurezza informatica, hanno scoperto una nuova campagna di malware diffusa attraverso Google Play, l’app store ufficiale di Google. Il malware, soprannominato Judy, è un adware auto-click che è stato trovato su 41 app sviluppate da una società coreana. Judy utilizza i dispositivi infetti per generare grandi quantità di click fraudolenti sulla pubblicità, generando incredibili ricavi per gli autori. Le applicazioni affette dal malware hanno già raggiunto una diffusione sorprendente, tra 4,5 e 18,5 milioni di download.
Alcune delle applicazioni infette individuate erano su Google Play da diversi anni, ma tutte sono state recentemente aggiornate. Non è chiaro da quanto tempo il codice malevolo fosse all’interno delle applicazioni in oggetto, quindi la diffusione effettiva del malware è attualmente sconosciuta.
Similarmente a FalseGuide e Skinner, precedenti malware individuati su Google Play, Judy si mette in ascolto aspettando istruzioni da un server di comando e controllo (C&C). Dopo la segnalazione di Check Point, Google ha rimosso le app “incriminate” dal Play Store.
Per bypassare “Bouncer”, lo strumento usato da Google per scansionare il codice di ogni singola app prima della pubblicazione, i cybercriminali hanno creato applicazioni apparentemente innocue, sfruttate come “testa di ponte” per stabilire una connessione con il dispositivo della vittima. Dopo lo scaricamento dell’app malevola, quest’ultima silenziosamente stabilisce una connessione con il server C&C e riceve un “payload”, istruzioni che includono codice JavaScript, una stringa con l’user-agent e URL controllati dagli sviluppatori del malware.
Il malware apre gli URL usando l’user agent specificato che si comporta come un browser per PC e reindirizza l’utente verso siti web. Portato il target sul sito web desiderato, il malware sfrutta codice JavaScript per localizzare e cliccare su banner di Google. Il click sugli annunci consente agli autori del malware di monetizzare le visite da traffico illegittimo. Le app malevole sono state sviluppate da Kiniwini, azienda sudcoreana registrata su Google Play come ENISTUDIO corp, software house che sviluppa app per iOS e Android. Altri dettagli a questo indirizzo.