Check Point scopre SimBad e SWAnalytics, due malware Android basati su SDK

Check Point scopre SimBad e SWAnalytics, due malware Android basati su SDK

Check Point ha scoperto l'esistenza di due nuovi malware Android. SimBad ha infettato 206 app scaricate da un totale di 150 milioni di utenti. SWAnalytics ne ha colpite solo 12 ma sono state scaricate già 111 milioni di volte.

di pubblicata il , alle 18:41 nel canale Security
Check PointAndroid
 

Gli appassionati di giochi di simulazione su Android si sono trovati una brutta sorpresa: 206 app, fra cui Ambulance Rescue DrivingFarming Tractor Real Harvest SimulatorFire Truck Emergency Driver, sono state affette da un fastidioso adware, SimBad, e scaricate 150 milioni di volte prima che Google riuscisse a rimuoverle. 

SimBad, un adware diffuso tramite SDK

Come è possibile che su uno store controllato come quello di Google possano finire ben 206 app di diversi produttori, tutte contenenti lo stesso adware? La soluzione la indica Check Point, che ha scoperto come tutte queste app avessero in comune l'utilizzo del medesimo SDK, RXDrioder, che si occupa di gestire gli annunci pubblicitari all'interno delle app. Probabilmente molti si erano affidati a questo particolare Software Development Kit perché offriva condizioni vantaggiose rispetto alla concorrenza. Peccato che contenesse un adware denominato SimBad che martella gli utenti con continue schermate pubblicitarie anche fuori dall'app, apre costantemente il PlayStore su pagine specifiche (diffondendosi così a macchia d'olio) e rendirizza il browser verso siti pubblicitari. Basta così? Magari. SimBad è talmente infido che nasconde le icone di avvio, così da impedire la disinstallazione delle app infette, e scarica automaticamente altre app sotto forma di APK, chiedendo comunque all'utente l'autorizzazione per installarle. 

Una volta installata una delle app infette, SimBad si attiva e contatta il server C&C (Command & Control) dal quale riceve le successive istruzioni. Lo scopo del malware è di monetizzare mostrando inserzioni a raffica, anche fuori dall'app, ma il fatto che potesse anche reindirizzare il browser del terminale verso specifici indirizzi web indica che può essere usato per attacchi di tipo phishing. La possibilità di forzare il download di APK e chiederne l'installazione all'utente aprie anche la strada all'installazione di software di controllo remoto. 

SimBAD android adware

Google ha già eliminato tutte le applicazioni infette dallo store. La lista completa delle app colpite è disponibile qui

SWAnalytics, il malware cinese per Android che ruba i contatti

L'unica cosa che accomuna SWAnalytics e SimBad è che entrambi sono stati veicolati all'interno di app "legittime" tramite SDK, quindi all'insaputa degli sviluppatori. Per il resto si tratta di due malware completamente differenti negli scopi. SimBad punta al guadagno facile subissando l'utente di pubblicità mentre SWAnalytics è più subdolo e sottrae silenziosamente le email di tutti i contatti sulla rubrica, che vengono poi inviati a un server. SWAnalytics si è diffuso solo sul Play Store cinese ed è stato rintracciato all'interno di sole 12 app che però sono state scaricate in totale ben 111 milioni di volte. Almeno in teoria potrebbe aver collezionato le informazioni di contatto di un terzo della popolazione cinese. 

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
frankie19 Marzo 2019, 10:12 #1
Beh, avevo l'app che SAMSUNG consigliava al posto del suo telecomando che era infestante.
Samsung TV remote controller di Peel tecnology.

Cambiava la barra di notifica con una sua personalizzata
Pop up fullscreen random ad utilizzo casuale
Varie ed eventuali opzioni invasive come utilizza PEEL per chiamare mandare email, accendere la torcia, usare telecamera videocamera spiare casa ecc...

Una volta capito che era peel, tolta l'utilizzo e la durata della batteria sono migliorate.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^