Le applicazioni dannose sono state furtivamente in Google Play Store e che interessano dispositivi degli utenti. Proprio di recente, la società di sicurezza mobile Lookout ha riferito 13 applicazioni compromessi situate nello Store. Rispettivamente, Google li ha rimosso. Tuttavia, I ricercatori di Lookout hanno fatto una scoperta problematica: gli sviluppatori del malware Brain Test sono tornati.
Leggi di più:
Malware mobile 2015
Come sono diventato vittima del crimine informatico?
Cronologia del malware BrainTest
Quando i ricercatori di Check Point hanno analizzato Brain Test a settembre 2015, hanno concluso che il malware aveva raggiunto un nuovo livello di sofisticazione. Brain Test è quindi diventata una delle maggiori minacce sul mercato del malware mobile.
La prima apparizione di Brain Test ha seguito uno scenario simile a quello recentemente eliminato 13 App di Google Play. Il malware è stato incluso in un gioco Android chiamato Brain Test ed è stato pubblicato due volte su Google Play. Le statistiche hanno rivelato che ogni istanza è stata scaricata tra 100,000 e 500,000 volte. Da qui, la durata dell'infezione del malware ha raggiunto l'orrendo numero di 200,000 a 1 milioni di utenti. Una volta i ricercatori di Check Point scoprirono il malware ora soprannominato Brain Test, hanno contattato Google Play.
Tuttavia, gli autori del malware non hanno perso molto tempo. Nel mese di ottobre 2015, nuove istanze di Brain Test, simili a quelli iniziali, sono stati scoperti da Lookout. La cattiva notizia? Alcune delle app scoperte di recente avevano centinaia di migliaia di download e, persino peggio, almeno un punteggio medio di quattro stelle. I punteggi più alti delle app sono stati indice di una buona esperienza con l'app.
La conclusione è stata facile: gli sviluppatori del malware Brain Test sono entrati con successo in Google Play utilizzando un gioco in qualche modo legittimo. Durante quelle scoperte, I ricercatori di Lookout non erano ancora sicuri di chi fossero gli sviluppatori del malware. Poco prima di Natale, il gioco Cake Tower ha ricevuto un aggiornamento su una funzionalità simile alle prime versioni di Brain Test che dava parzialmente via l'origine del malware. È stato anche scoperto un nuovo server di comando e controllo che ha confermato chi fossero gli sviluppatori.
Questo è ciò che ha detto Chris Dehghanpoor della società di sicurezza mobile Lookout:
“Alcuni [apps] sono molto apprezzati perché sono divertenti da giocare. Maliziosamente, anche se, le app sono in grado di utilizzare dispositivi compromessi per scaricare e rivedere positivamente altre app dannose nel Play Store degli stessi autori. Questo aiuta ad aumentare le cifre di download nel Play Store. In particolare, tenta di rilevare se un dispositivo è rootato, e se così fosse, copia diversi file nella partizione di sistema nel tentativo di garantire la persistenza, anche dopo un completo ripristino delle impostazioni di fabbrica.”
Alcune delle applicazioni rimosse da Google Play includevano Cake Tower, Cake Blast, Mangia Bubble, Favo, Gelatina pazza, Crazy Block, e Tiny Puzzle.
Cosa fanno i ceppi di malware Brain Test?
Come sottolineato da Lookout, dopo che la routine di persistenza iniziale è stata finalizzata, diversi servizi in background si collegano continuamente con i server di comando e controllo. Come con le versioni iniziali del Brain Test, l'ultima variante è anche programmata per scaricare parametri di configurazione aggiuntivi dal server di comando e controllo, eseguire comandi arbitrari come root, ed eseguire dinamicamente il codice Java.
Riferimenti
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: