16/09/2017 di Redazione

Rimosse dal Play Store le app maligne che puntano al portafoglio

Il malware Expensivewall, rilevato da Check Point, è riuscito a infettare nelle scorse settimane diverse applicazioni, scaricate fino a 4,2 milioni di volte. Google ha poi ripulito il proprio negozio online, ma è probabile che i software siano rimasti ins

immagine.jpg

Aprire gli Sms, di questi tempi, potrebbe essere pericoloso. Check Point ha identificato una nuova variante di un malware Android, nota come Expensivewall, che invia messaggi fraudolenti e addebita agli utenti servizi a pagamento mai autorizzati. Ovviamente tutto a loro insaputa. Secondo i dati di Google Play, il programma maligno ha infettato almeno cinquanta applicazioni ed è stato scaricato tra una e 4,2 milioni di volte. Big G è poi intervenuta e ha rimosso le app malevole. Check Point ha sottolineato che la vera pericolosità potenziale di questo malware è rappresentata dall’essere packed: una tecnica di offuscamento avanzato utilizzata dagli hacker per crittografare il codice maligno, che consente di eludere le protezioni disponibili in Google Play. I dettagli sulla scoperta di Expensivewall sono stati inviati dalla società di sicurezza a Big G lo scorso 7 agosto.

Il colosso di Mountain View è stato rapido nella risoluzione del problema ma gli hacker, accortisi della risposta dell’azienda californiana, hanno provveduto a caricare altre varianti del malware. La seconda tornata di attacchi ha causato l’infezione di un numero molto esiguo di dispositivi, circa cinquemila, prima che le applicazioni incriminate venissero nuovamente rimosse l’11 agosto. Gli utenti che hanno scaricato il software e non l’hanno cancellato sono però ancora in pericolo.

Anche perché al momento il focus di Expensivewall è esclusivamente economico, ma un programma del genere “potrebbe essere facilmente modificato per avvalersi della stessa infrastruttura e recuperare immagini, audio registrato e anche dati sensibili e inviarli poi ai server command and control (C&C)”, scrive Check Point.

 

Uno dei servizi a pagamento a cui l'utente si potrebbe trovare abbonato

 

Una volta scaricato, Expensivewall richiede permessi comuni ad altre applicazioni, come la possibilità di accedere a Internet (fondamentale in questo caso per collegarsi alla rete command and control) e di inviare/leggere gli Sms. Il malware nasconde un’interfaccia che connette le azioni effettuate in app e il codice Javascript presente nel componente Webview di Android. Dopo essersi annidato nel dispositivo, il programma malevolo invia le informazioni ai server C&C, come la localizzazione e alcuni identificatori univoci (indirizzi Ip e Mac, codici Imsi e Imei dello smartphone e così via).

Ogni volta che l’utente accende il device l’applicazione si collega alla botnet e riceve un Url, che viene aperto in una Webview embedded. La pagina contiene del codice Javascript maligno, che può eseguire in autonomia funzioni in-app, come la sottoscrizione a servizi a pagamento. Attenzione quindi alla bolletta.

 

ARTICOLI CORRELATI