Applicazioni per smartphone infette, malware che installano botnet, attacchi che si propagano in Rete: ci risiamo. È Google Play il mercato digitale ancora una volta sotto i riflettori per essere stato inconsapevole veicolo di app contenenti codice dannoso: ben 300, nell'ultimo caso denunciato da un gruppo di ricercatori di diverse società, fra cui la stessa Google. Esperti di sicurezza di Mountain View hanno collaborato con quelli di altre aziende di sicurezza o fornitori di servizi cloud, fra cui Oracle, Akamai, Cloudflare, Flashpoint, Dyn, RiskIQ e Team Cymru, per analizzare e smantellare una botnet rimasta attiva, presumibilmente, almeno per un mese fra luglio e agosto. Battezzata “WireX”, la botnet si attivava a partire dal malware contenuto nelle 300 applicazioni e agiva intasando di traffico siti e servizi per realizzare attacchi DDoS (Distributed Denial-of-Service).

Googleha già eliminato dallo store le circa 300 applicazioni incriminate ed è attualmente impegnata nel richiamo di questi software nei dispositivi che li avevano installati. Si tratta di app apparentemente innocue, che spaziano dai lettori di file musicali e video alle collezioni di suonerie, fino agli strumenti utility per la gestione dello storage.

Il meccanismo è quello classico: una volta installate su un dispositivo, il malware contenuto nelle app inizia a dialogare con i server di comando e controllo dei cybercriminali, ricevendo le istruzioni per l'attacco. Ad aggravare il tutto c'è una caratteristica dell'architettura di Android, la quale consente alle app di usare le risorse di sistema anche quando eseguite solo in background (il che, in questo caso, ha significato lasciare più tempo e libertà di azione alla botnet).

 

Secondo Cloudfare, la botnet avrebbe agito per più di un mese, fra luglio e agosto

 

 

A detta dei ricercatori di Akamai, l'operazione WireX è stata scoperta indagando sulle cause di un attacco DdoS eseguito con migliaia di indirizzi IP e rivolto a un'azienda del settore turistico. Circa 70mila dispositivi in un centinaio di Paesi sarebbero stati infetti (in qualche caso, senza farsi mancare una richiesta di riscatto in stile ransomware) e sfruttati per generare attacchi di questo tipo. Dopo episodi come questo o come quello delle 500 app con software cinese “spione” rimosse, c'è da augurarsi che Google intensifichi i controlli e l'impiego di algoritmi di intelligenza artificiale per individuare le mele marce nell'ampio catalogo del suo marketplace.