Roma – Oltre che rari, i cavalli di Troia per Windows Mobile si sono rivelati fino ad oggi assai poco pericolosi. Ma le cose, ahinoi, potrebbero cambiare in fretta. Gli Avert Labs di McAfee hanno infatti individuato un trojan per Windows Mobile di nuova generazione, chiamato WinCE/Infojack , capace di installarsi nel sistema in modo silente e, quando la connessione Internet è attiva, inviare informazioni all’autore del malware.
Infojack mima da vicino alcune delle tecniche già impiegate da anni dai trojan per Windows, ma riadattandole nello specifico alla piattaforma PocketPC. Il codicillo è realmente pericoloso solo se l’utente del dispositivo infetto utilizza Internet, ma del resto sono sempre di più gli utenti che sfruttano i propri palmari per connettersi in rete.
Jimmy Shah, ricercatore di Avert Labs, ha spiegato in questo post che il nuovo trojan è di origine cinese , ed è stato programmato per inviare ad un certo sito il numero seriale del dispositivo, la versione del sistema operativo e altre informazioni, alcune delle quali relative all’utente.
Shah afferma che il gestore del sito incriminato ha giustificato la distribuzione del trojan con la necessità di raccogliere maggiori informazioni sui dispositivi utilizzati dagli utenti per accedere al proprio servizio. Di fatto, però, Infojack appare come un cavallo di Troia a tutti gli effetti: la sua installazione nel sistema avviene senza che l’utente se ne accorga, e la sua icona lo identifica come una suite di giochi di carte; inoltre, la rimozione può avvenire solo in modo manuale .
Tra le altre funzionalità che identificano Infojack come un cavallo di Troia c’è il fatto che è in grado di installarsi automaticamente sulle memory card e da lì infettare altri dispositivi, proteggersi dalla cancellazione creando più copie di sé stesso (ciascuna con un nome diverso), sostituire l’home page del browser web, e consentire ai programmi non certificati di installarsi nel sistema senza l’autorizzazione dell’utente. Quest’ultimo accorgimento, secondo Shah, consente al malware di aggiornarsi e di scaricare nuovi malware anche senza l’interazione dell’utente.
Il sito che distribuiva il trojan non è più attivo, ma il pericolo, secondo l’esperto di McAfee, è che questo serva da “matrice” per la creazione di malware più subdoli e pericolosi: ad esempio, capaci di raccogliere e inviare verso un server remoto contatti, messaggi, numeri di carte di credito.