Nuovo malware non rimovibile su Android, costringe alla sostituzione dello smartphone

È stato scoperto un nuovo tipo di adware su Android che sembrerebbe "virtualmente impossibile da rimuovere". Il malware espone il dispositivo infetto a pericolosi exploit che consegnano i permessi di root, e si può insidiare all'interno delle migliaia di versioni contraffatte di Twitter, Facebook, Okta disponibili all'interno di store di terze parti. L'exploit, una volta attecchito sul dispositivo, sembrerebbe resistere anche alle più estreme procedure di factory reset, costringendo l'utente alla sostituzione dello smarpthone per liberarsene.

Le applicazioni contraffatte usano exploit per ottenere i permessi di root e installarsi con gli stessi privilegi dei servizi di sistema

Sono stati scoperti più di 20 mila esempi di applicazioni prese da Google Play, contraffatte con il codice malevolo e poi pubblicate su store di terze parti. L'utente non può accorgersi della manomissione, dal momento che in moltissimi casi le applicazioni modificate offrono la stessa identica esperienza d'uso delle originali. Almeno all'apparenza: di nascosto infatti le applicazioni usano exploit per ottenere i permessi root, come alcuni fra i servizi nativi necessari per il corretto funzionamento del dispositivo, e installarsi con gli stessi privilegi.

"Per gli utenti, l'infezione con Shedun, Shuanet e ShiftyBug potrebbe significare un viaggio al negozio per l'acquisto di un nuovo telefono cellulare", hanno dichiarato i ricercatori di sicurezza di Lookout, che hanno rivelato l'esistenza delle 20 mila app fraudolente. "Poiché queste forme di adware ottengono i permessi di root e si installano come applicazioni di sistema diventano quasi impossibili da rimuovere, e costringono solitamente le vittime a sostituire il dispositivo se vogliono ottenere nuovamente il suo stato originale".

Visivamente, le app contraffatte non fanno molto altro oltre a mostrare dei banner pubblicitari, ma considerato che ottengono gli accessi più profondi del sistema operativo hanno la possibilità di sovvertire i meccanismi di sicurezza integrati su Android. Il sistema operativo di Google utilizza un sistema di sandbox, ovvero le singole applicazioni non possono accedere a parti sensibili del dispositivo. A meno che non siano servizi di sistema naturalmente, come le app contraffatte scoperte da Lookout. Queste possono quindi superare la sandbox, ottenere informazioni sensibili ed anche modificarle.

Differentemente da altre campagne simili, il fenomeno non è circoscritto solo in alcuni mercati asiatici.

La campagna di malware è stata realizzata oculatamente, escludendo ad esempio applicazioni di sicurezza o anti-virus. Differentemente da altri malware su store terzi di Android, tuttavia, il fenomeno non è circoscritto solo in alcuni mercati asiatici. Lookout ha verificato che la maggior parte delle rilevazioni dei malware sono state effettuate negli Stati Uniti, in Germania, Iran, Russia, India, Giamaica, Sudan, Brasile, Messico e Indonesia. Non c'è l'Italia fra i paesi più diffusi, ma ciò non mette gli utenti del Belpaese fuori pericolo.

Google non ha responsabilità dirette su quanto accaduto, né può farci molto considerata la natura aperta e "libera" che contraddistingue il suo Android. Il caso scoperto da Lookout non è del tutto originale ed è solo l'ultimo che sottolinea i rischi dell'uso di applicazioni scaricate da store di terze parti e non considerati sicuri. Non c'è infatti alcuna prova di applicazioni infette su Google Play Store, che appare al momento invulnerabile agli exploit descritti da Lookout.

In molti casi, gli exploit utilizzati nelle app utilizzano diversi sistemi di root, sviluppati specificamente per attecchire su più modelli di smartphone. ShiftyBug, ad esempio, ne utilizza almeno otto, quasi tutti gli stessi che gli utenti applicano sui loro dispositivi per ottenere i permessi di root e superare alcune restrizioni impartite da operatori telefonici e produttori.