Un nuovo malware ha iniziato a diffondersi tra gli smartphone che dispongono del sistema operativo Android: il virus si traveste da aggiornamento del sistema e, in teoria, consente agli aggressori di assumere il pieno controllo del dispositivo della vittima.
Il malware agisce sui device Android, non cascateci
Shridhar Mittal, il capo della società di sicurezza Zimperium, ha parlato ai giornalisti del nuovo malware. Si tratta di un’applicazione chiamata System Update che non viene installata dal Google Play, ma da fonti di terze parti come parte di un pacchetto di “utilities“. Shridhar ha confermato che questa app non è mai apparsa sul Play. In tal modo, l’applicazione si traveste e compare sul display degli utenti come se fosse un “UPDATE DI SISTEMA”, al pari di quanto avviene con le notifiche degli aggiornamenti del software di Android.
Dopo l’installazione, l’applicazione si nasconde nel firmware del telefono e raccoglie i dati degli utenti (password, cookies, preferenze, foto, testi e altro) e invia segretamente il tutto ai server degli aggressori. I server Firebase vengono utilizzati anche per controllare in remoto il dispositivo.
Gli hacker possono trasferire messaggi, contatti, informazioni sul dispositivo, segnalibri e cronologia di navigazione, ma non solo: possono anche registrare chiamate e persino suoni ambientali dal microfono integrato e scattare foto utilizzando le fotocamere dello smartphone. Inoltre, la posizione del dispositivo viene tracciata, i documenti vengono cercati in memoria e le informazioni vengono copiate quando vengono immesse dalla tastiera.
Per ridurre il rischio di essere scoperti, il malware riduce la quantità di traffico consumata caricando miniature anziché intere immagini sui server dell’aggressore. Il malware raccoglie anche i dati più recenti, inclusi posizione e foto.
Quando Google ha eliminato le notifiche di aggiornamento delle app dal Google Play Store; la decisione si è rivelata controversa e a molti utenti non è piaciuta. Ha persino portato allo sviluppo di una soluzione di terze parti prima che Google cambiasse idea e restituisse la funzione come impostazione opzionale, che ora appare disabilitata come “impostazione predefinita”. Tuttavia, questa feature ora ha smesso di funzionare su diversi smartphone Android. Il problema è stato risolto dal fondatore del sito Web AndroidPolice. Quando si prova ad attivare la funzione nelle impostazioni di un device Pixel, l’interruttore si blocca.
Google Play Store has an "Updates completed" notification setting, but enabling it is completely broken for me.
🤷♂️ pic.twitter.com/1lm5rjjRQg
— Artem Russakovskii (@ArtemR) March 18, 2021
AndroidPolice rileva che lo switch non funziona affatto sugli smartphone Pixel. Se guardate l’elenco completo delle categorie di notifica per il Google Play Store potrebbe sembrare che l’interruttore abbia funzionato. In realtà, è solo apparenza, poiché lo smartphone non ricorda la scelta dell’utente e quando si torna alle impostazioni di Android o alle impostazioni dell’applicazione, l’opzione (la spunta) viene nuovamente disattivata.
