Mondo
Google è stato costretto a rimuovere dall’Android Market un’altra serie di applicazioni infette dopo che, la scorsa settimana, un ricercatore della North Carolina State University aveva segnalato le nuove minacce alla società.
Xuxian Jiang, questo il nome del ricercatore, ha individuato uno spyware nascosto – battezzato Plankton – in almeno 10 app realizzate da tre diversi sviluppatori e disponibili sul Market, il negozio di applicazioni per i dispositivi dotati di Os Google.
Tutte le app erano collegate al popolare Angry Birds di Rovio, ma nessuna di esse forniva funzionalità aggiuntive per il gioco, fungendo semplicemente da veicolo per lo spyware Plankton, il cui obiettivo era quello di raccogliere informazioni (incluso l’ID del dispositivo) e le autorizzazioni per trasmettere i dati a un server remoto attraverso un messaggio HTTP Post.
Plankton, ha spiegato l’analista Webroot Andrew Brandt, “utilizza un metodo molto furtivo per inserire dei malware nel dispositivo” ed è in grado “di accedere da remoto al server command-and-control [C&C] e di eseguire caricamenti aggiuntivi”.
A differenza di altri codici maligni già identificati, Plankton non sfrutta una vulnerabilità per guadagnare il controllo completo dello smartphone. Una volta che la vittima ha installato l’app, tuttavia, Plankton è in grado di chiamare altri file dal server controllato dagli hacker, inclusi alcuni che riescono a sfruttare uno o più bug non ancora corretti.
“Un fatto molto serio”, ha commentato Brandt, sottolineando che Plankton è anche in grado di raccogliere e trasmettere informazioni quali i segnalibri, la cronologia e l’home page del browser.
Il carattere ‘furtivo’ del malware spiega perchè alcune precedenti varianti di Plankton sono in circolazione da più di due mesi senza che nessun anti-virus le abbia identificate.
Non si tratta, comunque, del primo attacco sferrato al codice Android, la cui filosofia open-source ha trainato la crescita, ma comincia anche a creare serie preoccupazioni per la sicurezza: a marzo, il virus ‘Droid Dream‘ ha sfruttato una falla di Android 2.3 e avrebbe permesso di sottrarre informazioni chiave come il modello del cellulare, product ID, provider, lingua, paese e user ID da circa 200 mila dispositivi, costringendo Google a rimuovere dall’Android Market una cinquantina di applicazioni.
Il mese scorso, quindi, sono state rimosse altre 34 app, contenenti una versione ‘light’ di Droid Dream, mentre all’inizio di giugno, Jiang ha segnalato alla società un’altra variante del malware, battezzata ‘DroidKungFu‘, scoperta in un app store cinese non autorizzato. Due giorni dopo, sempre Jiang ha identificato il trojan horse YZHCSMS, in grado di inviare sms a numeri a sovrapprezzo. Le app infestate da YZHCSMS sono rimaste sull’Android Market almeno per tre mesi prima di venire rimosse.