Ricercatori di una società specializzata in sicurezza informatica hanno individuato malware integrato in 26 smartphone e tablet Android a basso costo. Il malware in questione è sfruttato per installare app indesiderate all’insaputa degli utenti. I ricercatori hanno individuato il malware su diversi dispostivi a basso costo, molti dei quali commercializzati in Russia e che sfruttano chipset MediaTek.
Secondo le analisi di DrWeb, il malware è aggiunto al firmware da “disonesti operatori”, personale esternalizzato che si occupa della creazione delle “immagini” del sistema operativo, modificandole per guadagnare all’insaputa di ignari utenti. I ricercatori hanno informato MediaTek e i vendor dei dispositivi. L’azienda fa sapere che “nell’autunno di quest’anno, si sono verificati diversi incidenti informatici provocati dai programmi malevoli per Android”; “all’inizio di novembre è stato scoperto un nuovo trojan su Google Play, mentre più tardi è stato rilevato un trojan preinstallato su dispositivi Android popolari”.
Nell’elenco delle applicazioni sul Google Play è stato individuato il trojan “Android.MulDrop.924” diffuso come applicazione apparentemente innocua con il nome di “Multiple Accounts: 2 Accounts” e secondo le indicazioni avrebbe dovuto consentire ai proprietari dei dispositivi mobili di utilizzare contemporaneamente più account. Al momento della scoperta l’applicazione malevola era stata scaricata da oltre un milione di utenti. Il trojan è stato successivamente rimosso dal Google Play.
Altro programma malevolo individuato recentemente è “Android.Loki.16.origin”, un trojan multicomponente che scarica e installa software di nascosto su dispositivi mobili. Il trojan infetta smartphone e tablet in più fasi collegandosi ad un server di comando e controllo, avviando processi di sistema con permessi di root che consentono di scaricare, installare e rimuovere applicazioni in modo impercettibile.
Altra scoperta recente è un Trojan Android in grado di utilizzare impropriamente il framework legittimo DroidPlugin per aggiornare se stesso e nascondere ttività dannose. Il malware mobile, denominato PluginPhantom da Palo Alto Networks, è specializzato nel furto dei dati, ed ha la capacità di rubare file, contatti, dati di geolocalizzazione e le informazioni correlate all’utilizzo del Wi-Fi. È in grado di scattare foto, catturare screenshot, eseguire registrazioni audio, intercettare ed inviare SMS, registrare le sequenze dei tasti premuti.
PluginPhantom si distingue dagli altri Trojan Android multifunzionali per il fatto che utilizza DroidPlugin per ripartire le funzionalità nocive tra numerosi plugin, mentre l’applicazione host si comporta in maniera “neutra”. Il framework di virtualizzazione DroidPlugin è stato sviluppato da Qihoo 360, società cinese specializzata in sicurezza IT e, secondo le spiegazioni offerte da BleepingComputer, esso consente agli sviluppatori di creare app capaci di caricare plugin da fonti locali o remote, in tempo reale (non è richiesto il consenso dell’utente per il download e l’installazione di file APK).