Il fatto che tutti i riflettori siano puntati su Las Vegas, per il CES 2020, non vuol dire che il mondo della sicurezza informatica goda di un periodo di clemenza da parte degli hacker che, anzi, sono tornati ad aggredire l’ecosistema di Android, tramite alcune applicazioni malevole rinvenute nel Play Store, ove operavano indisturbate (seppur con pochi download) da mesi (precisamente, da Marzo).
La scoperta, portata alla luce dalla security house giapponese Trend Micro, riguarda un attacco condotto da app sinergiche, mascherate da file manager o tool per il photo editing, attribuite alla crew di hacker SideWinder, posto che il server di comando e controllo con cui dialogavano era ritenuto da essi controllato e conteneva un collegamento alla pagina Play Store di una delle applicazioni coinvolte nell’attacco.
Il tutto, quanto a dinamica di azione, partiva con lo scaricamento di un’app come FileCrypt Manager o Camero (quest’ultima capace di sfruttare la vulnerabilità, emersa a Ottobre, CVE-2019-2215): le stesse, una volta in locale, acquisivano i diritti amministrativi sul terminale, modificavano le opzioni di accessibilità, si collegavano al server dei mittenti, e scaricavano un payload maligno, che – poi – portava all’installazione dell’app callCam.
La stessa registrava, prima di impacchettarle in faldoni criptati (secondo gli standard AES ed RSA) da inviare agli hacker, diverse informazioni dell’utente, come quelle sul dispositivo, sulla rete Wi-Fi di riferimento, la posizione dell’utente, l’elenco delle app installate, i file stoccati localmente, lo stato della batteria, gli screenshot dello schermo, e quanto più dati possibili da Chrome, Gmail, Twitter, Facebook, Outlook, WeChat, Yahoo Mail.
Individuare tali app, che nascondevano la loro icona dal drawler del device infettato, operando in background, non era facile ma, per fortuna, Google ha da poco rimosso dal proprio store le app untrici che, però, potrebbero essere rinvenibili sugli store di terze parti, o sui repository online: quindi, torna utile il consiglio di impiegare un antivirus mobile e, nel caso si sospetti d’essere già stati infettati da tale attacco, è necessario portarsi, dalle impostazioni, nell’elenco delle app e, quivi giunti, procedere a disinstallare quelle menzionate.