I ricercatori di Check Point Software hanno individuato un nuovo malware per Android chiamato Charger, un ransomware camuffato all’interno di un’applicazione apparentemente legittima e che ha infettato almeno un cliente dei prodotti di sicurezza commercializzati dalla società.
Charger è integrato come payload di EnergyRescue , app infetta disponibile per il download direttamente sullo store ufficiale di Android (Google Play): una volta scaricata ed eseguita l’app, il malware ruba i contatti dell’utente per i messaggi testuali e chiede l’accesso con i diritti di amministratore. È a questo punto che Charger mostra la sua vera natura, bloccando il gadget infetto e imponendo il pagamento di un riscatto in Bitcoin (0,2 BTC, circa 180 dollari USA) per il ripristino del dispositivo.
Dopo l’infezione, il ransomware si cura di ricordare alle vittime che tutti i loro dati sono stati copiati sui “server” controllati dai criminali, e che tali dati verranno messi in vendita sul mercato nero – inclusi eventuali account sui social network, conti bancari, carte di credito ecc. – qualora gli utenti non rispondessero prontamente alla richiesta di riscatto.
Stando a quanto comunica Check Point, EnergyRescue ha collezionato “un pugno” di download nei 4 giorni di disponibilità sul Play Store prima che Google si accorgesse della sua presenza. Il malware si presenta con un codice complesso , dicono i ricercatori, che fa di tutto per evadere i meccanismi di scansione di Mountain View e l’eventuale tentativo di far girare l’app infetta con un emulatore su computer. Indicativo, inoltre, il fatto che il payload principale non venga eseguito nel caso in cui le impostazioni locali corrispondano a paesi quali Ucraina, Russia e Bielorussia.
Charger, così come il recentemente svelato HummingWhale , è la riprova del fatto che Android continua a rappresentare il target preferito dai cyber-criminali interessati ai gadget mobile. Dal punto di vista di Google, invece, la sicurezza dell’OS androide è migliorata parecchio: grazie al programma App Security Improvement (ASI), ad esempio, in due anni sono stati corretti i bug di sicurezza di oltre 275.000 app con il coinvolgimento di circa 90.000 diversi sviluppatori.
Un altro meccanismo che Mountain View usa per “sniffare” l’uscita di app malevole su Play, infine, si chiama Verify Apps e permette, grazie all’accesso ai dati di utilizzo anonimizzati , di avvertire l’utente della presenza di un’app pericolosa sul dispositivo per consigliarne la pronta disinstallazione.
Alfonso Maruccia