ExpensiveWall: 100 app su Google Play contenevano il malware

Set 18, 2017 Marco Schiaffino Malware, Minacce, News, RSS, Trojan 0

Oltre a rubare informazioni dal dispositivo, iscrive gli utenti a servizi SMS a pagamento. Il malware inserito in un kit di sviluppo.

Ennesima infornata di app infette all’interno di Google Play. Questa volta l’ospite indesiderato si chiama ExpensiveWall e, stando a quanto riportano i ricercatori di CheckPoint in questo report, sarebbe stato diffuso attraverso un kit di sviluppo finito poi tra le mani dei programmatori che lo hanno usato per realizzare le app.

Nessuna volontà di nuocere quindi dei singoli sviluppatori delle applicazioni, ma un classico “effetto domino” dovuto a una (ennesima) distribuzione di strumenti che inseriscono codice malevolo all’interno delle app.

Il risultato, in ogni caso, è che milioni di utenti hanno scaricato app infette. Secondo CheckPoint, che ha pubblicato l’elenco completo delle app e il numero stimato di download (usando i dati di Google Play) stiamo parlando di un numero compreso tra i 5 e i 20 milioni di download.

ExpensiveWall è programmato per agire seguendo una progressione di azioni ben precisa: per prima cosa chiede alcuni permessi piuttosto comuni (come la connessione a Internet che utilizza per contattare i server Command and Control gestiti dai pirati informatici) ma anche quello di poter inviare SMS.

Quest’ultimo è uno di quei permessi che dovrebbero far scattare un campanello di allarme nella testa degli utenti, ma visto che il malware è finito in un gran numero di app, tra cui molte collegate all’elaborazione di immagini che in seguito potrebbero essere inviate anche via SMS, è possibile che in alcuni casi la richiesta non sembri poi così sospetta.

L’uso che ne stanno facendo i pirati informatici è quello di iscrivere le vittime (a loro insaputa) a servizi SMS Premium, che prevedono l’invio di messaggi a pagamento. Insomma: un classico sistema per arricchirsi alle spalle degli ignari utenti.

La sottoscrizione a servizi che mandano SMS (inutili) a pagamento è uno dei grandi classici a cui ricorrono i pirati informatici per incassare denaro con i malware per smartphone.

Visto che le app in quesitone non mostrano alcuna notifica, le vittime potranno accorgersi del problema solo quando gli arriverà la (salata) bolletta telefonica.

Il malware ruba anche alcune informazioni come la posizione e quelle che identificano il dispositivo (MAC Address, indirizzo IP, IMEI e IMSI) ma non sembra farne usi particolari, almeno per il momento. Considerate le caratteristiche di ExpensiveWall, infatti, i ricercatori non escludono che i cyber-criminali ne possano modificare il comportamento.

Ogni volta che l’app viene attivata, infatti, si connette con i server C&C per ottenere un indirizzo Internet che viene aperto in WebView, un’interfaccia che consente a un JavaScript contenuto nella pagina di interagire con le attività dell’app. Questo significa che, in pratica, i cyber-criminali possono agire con la massima libertà.

Tutte le app individuate da CheckPoint sono state rimosse da Google Play e ora i ricercatori si stanno dando da fare per trovare il modo di bloccare questo tipo di attacchi all’origine, bloccando la diffusione dei kit di sviluppo infetti prima che possano fare altri danni.

Condividi l'articolo