Google elimina Chamois, nuovo adware Android

Google si è di recente sbarazzata di un ulteriore malware Android, insediatosi all’interno del proprio negozio di applicazioni: di fatto, è stata rimossa, dal pubblico accesso, tutta una serie di app malevole, in grado di manipolare il traffico pubblicitario, inviare messaggi di testo verso costosi numeri premium ed effettuare il download di plug-in aggiuntivi.

Lunedì 13 marzo, nel Security Blog della società, è comparso un post in cui si riferisce che tre software engineer di Google, specializzati in sicurezza IT, sono riusciti ad individuare un’estesa famiglia di applicazioni potenzialmente dannose (PHA, Potentially Harmful Applications), ed hanno poi rimosso le stesse da Google Play, assicurando in tal modo la protezione degli utenti. Secondo gli autori del blog post, i malware facenti parte di tale famiglia, denominata Chamois (“Camoscio”) sono stati rilevati nel corso di normali attività di routine, volte a valutare il grado di qualità del traffico di advertising. La nuova famiglia di malware si è rivelata essere davvero molto vasta; essa viene diffusa, tra l’altro, attraverso molteplici canali.

Nel corso dei test eseguiti, Chamois ha mostrato specifiche immagini ingannevoli, adibite a mascherare annunci pubblicitari pop-up: in pratica, se l’utente-vittima manifesta il proprio interesse nei confronti delle grafiche in questione, ed inizia a cliccare, attraverso il dispositivo infetto viene generato del traffico malevolo, di tipo ad fraud. Il malware in causa è inoltre in grado di innalzare in maniera “artificiale” il rating delle applicazioni, installando automaticamente le stesse in modalità di background, di inviare messaggi SMS a pagamento – all’insaputa dell’utente – e di effettuare il download di indesiderati plug-in aggiuntivi, per poi avviarne l’esecuzione.

L’utente, secondo Google, ben difficilmente potrà accorgersi dell’infezione in corso, visto che gli autori di Chamois si sono “preoccupati” di non far comparire in alcun modo la loro creatura nell’elenco delle applicazioni installate. Il nuovo adware cerca di evitare accuratamente anche il rilevamento da parte degli strumenti di analisi: esso utilizza metodi di offuscamento, un apposito storage per i file di configurazione cifrati ed i codici aggiuntivi, e si avvale, inoltre, di un complesso schema di infezione, che prevede il costante cambiamento del formato dei file utilizzati.

“Questo processo multi-step rende ancor più difficile identificare, in qualità di software potenzialmente pericoloso, le app che fanno parte di tale famiglia, visto che, per poter giungere alla parte maligna, occorre prima “togliere” tutti i livelli superiori” – scrivono i ricercatori.

La temibile famiglia di adware soprannominata Chamois è stata scovata ed estirpata, dalla società di Mountain View, attraverso l’utilizzo di Verify Apps, lo speciale scanner antivirus di Google. Verify Apps provvede a controllare lo stato dell’ecosistema Android, monitorando ed analizzando le eventuali anomalie, notifica agli utenti il download di software sospetto, e fornisce un prezioso aiuto per disinstallare simili applicazioni. Esso è ugualmente in grado di rilevare nuove minacce presenti sui dispositivi, ricorrendo all’analisi comportamentale.

Google ha illustrato, all’inizio dell’anno in corso, il proprio sistema di rilevamento e scoring dei programmi potenzialmente pericolosi, denominato “Dead or Insecure” (DOI). Le app Android vengono valutate in base al loro “retention rate”, ovvero l’effettiva “capacità” di permanere nel dispositivo. Se tale parametro – il tasso di “ritenzione” – supera il valore di soglia, ed altri indici di sicurezza IT rivelano il manifestarsi di una possibile attività dannosa, il programma in causa viene “flaggato”. Nel corso degli ultimi dieci mesi, Verify Apps ha contribuito ad individuare ed eliminare tutta una serie di temibili “parenti” di Chamois, tra cui Ghost Push, Gooligan e Hummingbad.

Nel blog post si riferisce, a proposito dell’adware Chamois, che “a molte applicazioni, scaricate da Chamois, sono stati assegnati punteggi particolarmente elevati, in base al sistema DOI”.

Google non ha fornito specifiche indicazioni riguardo al numero di infezioni generate dal nuovo malware. Per quel che riguarda HummingBad, ad esempio, sappiamo che, nell’arco di un anno e mezzo, questo adware (che fa uso di un rootkit) è riuscito ad insediarsi in ben 10 milioni di dispositivi Android, generando, per i propri “operatori”, cospicui profitti, quantificabili in circa 300.000 dollari $ al mese.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *