Il già ricco bestiario di app malevole per Android si arricchisce con Android.Sockbot, un malware camuffato come app legittima che visualizza messaggi pubblicitari e si mette in comunicazione con l’esterno , forse in attesa di ordini da parte di chi controlla la rete malevola per eseguire attacchi su larga scala.
I ricercatori di Symantec hanno scovato Android.Sockbot all’interno di “almeno” otto diverse app disponibili sullo store Play , con una base di utenza variabile tra i 600.000 e i 2,6 milioni di dispositivi. Gran parte delle vittime vivono negli Stati Uniti, con una presenza di infezioni più defilata in Russia, Ucraina, Brasile e Germania.
Le app malevole si nascondono dietro l’apparente funzionalità di personalizzazione dei personaggi di Minecraft (nella sua variante Pocket Edition ), ma una volta installate sul sistema visualizzano advertising in un gioco che non prevede affatto questo genere di meccanismo.
Le comunicazioni di rete di Android.Sockbot avvengono tramite il protocollo SOCKS, un sistema che secondo i ricercatori può essere usato per sfruttare diverse vulnerabilità telematiche e “arruolare” i sistemi infetti per attaccare apparati di rete, condurre campagna DDoS e altro ancora.
Symantec dice di aver avvertito Google della presenza delle app malevole il 6 ottobre, e la corporation dell’advertising ha prontamente reagito rimuovendole dallo Store . Il solo fatto che le app erano disponibile per il download conferma però, per l’ennesima volta, la scarsa robustezza dei sistemi di sicurezza della piattaforma mobile di Mountain View.
Alfonso Maruccia