Sempre più spesso, gli hacker fanno partire gli attacchi volti a colpire la diffusissima piattaforma Android dalla “fonte”, ovvero direttamente dal Play Store di Google, o tramite la contaminazione in fabbrica degli smartphone poi venduti già infetti agli ignari utenti: la parola d’ordine, come desumibile dai due casi che seguono, è “non farsi notare“.
Sophos, la nota security house britannica realizzatrice dell’omonimo antivirus, ha allertato circa l’azione dell’adware “Andr/HiddnAd-AJ” che, una volta infettato lo smartphone, faceva guadagnare gli hacker attraverso la massiccia e ripetuta visualizzazione di pubblicità, sia in forma di banner a schermo intero, che tramite pagine web che si aprivano colme di annunci, o tramite questi ultimi che, corredati di link, comparivano nelle notifiche.
Il contagio degli utenti, secondo Sophos circa 1 milione, tenuto conto che alcune app sono state scaricate fino a 500 mila volte, è avvenuto tramite alcune applicazioni fintamente innocue, tra cui 6 scanner per codici QR e 1 bussola smart, che – finite sui terminali mobili – non agivano subito, ma restavano latenti per 6 ore, in modo da non destare sospetti. Solo in seguito, veniva aperta un canale verso il server remoto degli hacker in modo da ricevere le istruzioni effettivamente dannose (ecco perché il Play Store non ha evitato la pubblicazione delle app), che portavano alle conseguenze di cui sopra.
Il team di sicurezza dei Sophos Labs ha consigliato agli utenti di rimanere ancorati all’abitudine di scaricare le app dal PlayStore, evitando le “fonti sconosciute”, anche se il Play Protect si è dimostrato – anche in questo caso – poco protettivo degli utenti Android. Per tale motivo, è bene tenere installato un antivirus mobile e procedere a regolari scansioni con le definizioni virali aggiornate, dacché gli antivirus attuali dovrebbero essere in grado di riconoscere l’adware “Andr/HiddnAd-AJ”. In ogni caso, l’emergenza è stata già debitamente segnalata a Google che, nelle scorse ore, ha provveduto a rimuovere le app compromesse dal suo app market.
Ancor peggiore è il pericolo scovato dall’israeliana Check Point Software Technologies e sostanziato nell’adware “RottenSys”. Quest’ultimo, in azione dal Settembre del 2016, appena 2 settimane fa aveva già contagiato circa 5 milioni di smartphone Android, consentendo agli hacker di guadagnare 100 mila euro ogni 10 giorni a suon di pubblicità invasive mostrate, di registrare le attività degli utenti, e di prendere il controllo dei loro telefoni installandovi app non autorizzate e indesiderate.
Il malware, finito sugli smartphone Xiaomi e Honor/Huawei attraverso la catena produttiva di Hangzhou gestita dalla Tian Pai (che assembla anche per Apple, HTC, e Samsung), si presentava come un innocuo servizio per il wireless ma, connessosi al server remoto degli hacker, scaricava le istruzioni dannose per assolvere alle sue citate “mansioni”. In questo caso, trattandosi di un adware “integrato” nel firmware degli smartphone, la risoluzione dovrà provenire direttamente dagli OEM (loro malgrado) coinvolti, attraverso le prossime patch di sicurezza (previste per Aprile).