Smartphone e gadgetWeb

Un rapporto rivela malware Android preinstallato su centinaia di telefoni

I dispositivi a basso costo non certificati da Google sono i principali interessati

Malware Android

Anche facendo attenzione ad evitare siti web poco conosciuti o app di dubbia provenienza, non c’è niente che si possa fare quando lo smartphone contiene già malware integrato. Questo in realtà è il caso di centinaia di smartphone diversi, secondo Avast Threat Labs. I ricercatori hanno trovato adware installato principalmente si dispositivi non certificati da Google da produttori come ZTE, Archos e myPhone. Gli utenti in possesso dei telefoni interessati vedranno annunci popup e altri fastidiosi problemi, e poiché l’hardware è installato a livello di firmware, risulta estremamente difficile la sua rimozione. Questa non è la prima volta che vediamo applicazioni di dubbia utilità preinstallate, dato che Lenovo ha distribuito notoriamente il malware “Superfish” con PC nuovi di zecca. Tuttavia, è uno dei più grandi scandali legati al malware installato sui dispositivi Android e potrebbe interessare molti più utenti.

 

Esistono un paio di varianti degli APK del malware Android, ma funzionano nella medesima maniera. Le app infette, chiamate droppers, sono installate in modo nascosto in un elenco di applicazioni di sistema all’interno delle impostazioni. Scaricano un piccolo file chiamato manifest che indica all’app quali altri file ottenere. Quindi scarica quelli e installa un APK da un URL trovato nel manifest e utilizza un comando Android standard per installarlo. Alla fine avvia un servizio che si occupa di tenere il malware attivo.

L’APK del payload contiene framework di annunci Google, Facebook e Baidu. È in grado di rilevare qualsiasi software antivirus e “blocca eventuali azioni sospette in questo caso”, ha affermato Avast. In caso contrario, mostrerà annunci pop-up per i giochi incriminati mentre navighi sul tuo browser predefinito.  I principali paesi colpiti sono Russia, Italia, Germania, Regno Unito e Francia. Avast è riuscito a disabilitare il server dropper tramite richieste di rimozione, ma è stato rapidamente ripristinato utilizzando un altro provider. I server adware sono ancora operativi e molti utenti si sono lamentati degli annunci mostrati, osserva la società.