La sicurezza, in informatica, più che uno stato di cose, ricorda una sorta di caccia del gatto al topo, col primo tenace ma il secondo capace di nascondersi e ripresentarsi sempre sul più bello. Esattamente come sta avvenendo col malware HiddenAds, in circolazione sin dal 2019 e, nelle scorse ore, nuovamente avvistato nel Play Store di Android.
Secondo quanto emerso da un’analisi condotta dai laboratori di Malwarebytes, nel Play Store sono state notate in libera circolazione 4 applicazioni apparentemente innocue, tutte realizzate dallo sviluppatore Mobile apps Group che, assieme, hanno messo su oltre 1 milione di download: nello specifico, le app incriminate sono Bluetooth Auto Connect (app per agevolare la connessione tra dispositivi via Bluetooth, prelevata più di 1 milione di volte), Driver: Bluetooth, Wi-Fi, USB (circa 10 mila download, con funzioni di driver per far rilevare i dispositivi in USB, WI-FI e BT), Bluetooth App Sender (+50.000 download, per condividere gli apk delle app via Bluetooth), Mobile transfer: smart switch (+1000 download, consigliato per “per trasferire in modo sicuro i dati tra smartphone sulla rete“).
Tali app, viene precisato da Malwarebytes, anche in passato erano state segnalate per essere state addizionate con altre versioni dello stesso malware, “Trojan Android/Trojan.HiddenAds.BTGTHB”, con lo sviluppatore che, di solito, si limita a sostituire l’app infetta con una pulita, per poi ripetere il giochetto, come fatto il 24 Febbraio 2021, quando DrWeb segnalò il virus nella versione 2.5 di Bluetooth Auto Connect, sostituita dalle versioni pulite 3.0 e 4.5, col virus che è tornato a manifestarsi nelle release 4.6 e 5.7 di Bluetooth Auto Connect.
Secondo gli esperti, una volta installata una di queste app, il virus aspetta 4 giorni prima di entrare in azione, per non destare sospetti: in seguito, apre pop-up pubblicitari per far guadagnare i criminali col pay per click, ma non solo.
Il malware apre in background continuamente delle pagine di phishing su Chrome, che possono carpire dati ma anche infettare l’utente (in un sito per adulti si segnalava che il device dell’utente fosse infetto e che andasse quindi installato un aggiornamento) con programmi aggiuntivi. Allo sblocco del device, l’utente noterà l’ultimo sito suggerito dal virus ma, dando un’occhiata alla cronologia del browser, si noterà una lunga sequela di siti pericolosi aperti nel frattempo. Inoltre, secondo il ricercatore di McAfee, SangRyol Ryu (McAfee), “questi tipi di malware possono causare traffico e consumo di energia“, sempre “all’insaputa dell’utente“.
Nel caso si sia installata una o più app incriminate, secondo il portale “El Español”, il consiglio è di rimuoverle manualmente, eseguendo poi una scansione del dispositivo con un antivirus anche gratuito, tenendo però presente che alcuni virus sono anche in grado di riproporsi financo dopo il ripristino alle condizioni di fabbrica.