ExpensiveWall, malware Android con le app per i Wall paper

ExpensiveWall è una variante di un malware Android che invia messaggi SMS a pagamento, risultando alquanto “costoso”, ma soprattutto pericoloso

Le minacce in continua evoluzione mettono a rischio singoli utenti e imprese. Una delle ultime scoperte è stata annunciata dai ricercatori del team sulle minacce mobile di Check Point Software Technologies. Questi hanno battezzato “ExpensiveWall”, una nuova variante di un malware scoperto all’inizio di quest’anno su Google Play.

Il nome fa riferimento a una delle prime app infettate, “Lovely Wallpaper”, che permetteva di scaricare sfondi per lo smartphone, e alle spese causate dal codice maligno, che spediva SMS verso numeri premium e altri a servizi a

pagamento, all’insaputa dei possessori del dispositivo.

Secondo i dati forniti da Google e riportati da CheckPoint Software Techology, tale variante potrebbe essere stata scaricata tra 1 milione e 4,2 milioni di volte attraverso una cinquantina di app che erano state infettate. L’intera famiglia di tale malware è stata scaricata tra le 5,9 milioni e le 21,1 milioni di volte.

Appena i tecnici di CheckPoint Software Technologies hanno avvisato i responsabili dell’App store di Google, questi hanno rimosso le applicazioni infette dal negozio virtuale, ma il codice maligno rimane installato sullo smartphone, che si spera facciano attenzione alla bolletta, ma resta il dubbio che non siano in grado di comprendere dove sia la falla.

Del resto, si tratta dello stesso che ha concesso i permessi richiesti dall’app, senza riflettere sul perché un’applicazione che fornisce wall paper dovrebbe aver bisogno di spedire SMS. Il problema è l’ingenuità dell’utente cui Google demanda tutta la responsabilità.

L’offuscamento di ExpensiveWall

Aldilà dei danni economici inflitti ai malcapitati che hanno scaricato un’app infetta dalla variante, la rilevanza della nuova minaccia consiste nella tecnica di offuscamento avanzato che è stata utilizzata dai programmatori black hat per crittografare il codice malevolo.

Come abbiamo avuto spesso modo di sottolineare, gli sviluppatori di malware creano codici maligni sempre più sofisticati riutilizzando e integrando tecniche sviluppate in precedenza e, magari, inventate da qualcun altro.

ExpensiveWall

ExpensiveWall: malware che spedisce SMS Premium

La tecnica impiegata ha permesso di eludere le protezioni anti-malware di Google Play e potrebbe essere riutilizzata per altri tipi di attacco. Secondo i tecnici di CheckPoint è facile modificare il codice per utilizzarne le caratteristiche e catturare immagini, file audio o altri dati, finanche credenziali che possono essere trasmesse a un server command and control, ottenendo il pieno “possesso” del dispositivo.

La tecnica di offuscamento permette un funzionamento “silente” delle attività maligne e rende il malware un tool di spionaggio potente. È evidente il rischio per le imprese se si pensa alle pratiche BYOD non sempre supportate da politiche di sicurezza aziendali rigorose ed efficaci.

Ricordiamo su questi temi la disponibilità della monografia sulla sicurezza distribuita in allegato con il Sole 24Ore.

Gaetano Di Blasio ha lavorato presso alcune delle principali riviste specializzate nell’ICT. Giornalista professionista, è iscritto all’ordine dei giornalisti della Lombardia ed è coautore di rapporti, studi e Survey nel settore dell’ICT. Laureato in Ingegneria.