Milano – Nome in codice HummingWhale, un parente stretto del famigerato HummingBad : è questo il nome attribuito dai ricercatori di Check Point , società specializzata in sicurezza, al malware trovato annidato in almeno 20 app disponibili per il download a mezzo Google Play . Mountain View, messa sull’avviso, ha provveduto a rimuovere le app incriminate: ma la nuova incarnazione del malware è più perniciosa della precedente, e il suo sbarco sul marketplace ufficiale di Android è una circostanza davvero seccante.
La scoperta di HummingWhale risale a luglio dello scorso anno (2016), solo qualche mese dopo la scoperta di HummingBad: i tecnici notarono all’epoca un comportamento simile ma non identico a quello del malware già scovato, con una serie di chiamate generate da alcune app che erano decisamente fuori contesto. Ulteriore indagini permisero di stabilire che tutte le app erano state introdotte su Play Store attraverso un account di un sedicente sviluppatore cinese (rivelatosi un fake), contenenti nel pacchetto APK anche dei sospetti assett grafici: file PNG dal peso di oltre 1 megabyte.
Tecnicamente HummingWhale sfrutta molte soluzioni tecniche particolari: per esempio impiega una virtual machine per mascherare alcune delle attività malevole operate sul telefono della vittima, sul quale vengono visualizzate come dette delle inserzioni in grado di generare centinaia di migliaia di dollari di introiti al mese per chi opera questo tipo di macchinazioni. Una cifra facilmente giustificabile visto che il codice di HummingWhale è stato individuato in app scaricate tra le 2 e le 12 milioni di volte: per di più da un marketplace ritenuto generalmente affidabile , visto che Google opera dei controlli sulla qualità e la sicurezza di quanto distribuisce.
Come il suo predecessore , anche HummingWhale cerca di ottenere privilegi sul terminale vittima: opera in modo molto abile, senza far rallentare lo smartphone infetto, ed è in grado di scaricare tutte le app aggiuntive che il creatore del malware desidera oltre che monetizzare direttamente tramite la pubblicità abusiva . A differenza di HummingBad, comunque, in questo caso non c’è necessariamente il tentativo di raggiungere lo status root per manipolare il contenuto del telefono.
Luca Annunziata