Android Malware

Un nuovo malware sfrutta il root per impossessarsi dello smartphone

Giuseppe Tripodi

Quando si parla di sicurezza informatica, si sa che non si può mai essere completamente protetti. Google ha fixato il bug di Stagefright, ma FireEye riporta l’esistenza di un nuovo malware potenzialmente molto ostico da rimuovere.

Come spesso accade, il codice malevolo si trova in app che si spacciano per software famosi e che possono essere scaricati da store di terze parti e siti di dubbia affidabilità. Sì, installare dubbi apk da fonti diverse del Play Store non è mai una buona idea.

Una volta installato, questo malware riesce a sfruttare ben otto diverse vulnerabilità di Android per ottenere i diritti di root. Una volta divenuto amministratore di sistema, il software avvia dei servizi che imitano altri servizi legittimi, come com.facebook.qdservice.rp.provider e com.android.provider.setting, per ottenere definitivamente il controllo sullo smartphone. Il malware invia online IMEI del dispositivo, IMSI, informazioni sulla memoria e app installate, ma per evitare di essere intercettato comunica col server appena installato e poi ad intervalli di 24 ore.

LEGGI ANCHE: Un nuovo ransomware per Android si fa strada in America

Inoltre, il team di FireEye ha notato che una volta ottenuti i permessi di root, il malware rimuove l’antivirus Lookout (qualora presente) e che l’app che lo ospita, a volte, presenta lo stesso identico certificato di alcuni software regolarmente pubblicati sul Play Store, che ovviamente non hanno nulla a che vedere con il codice malevolo.

La lezione che possiamo trarne è sempre la solita: nessun sistema è completamente al sicuro, ma certamente si rischia infinitamente meno evitando di installare apk da fonti diverse del Play Store.