Nuove minacce si aggirano per il Play Store: i malware con iniezione di codice

È oramai risaputo che il mondo Android non sia affatto immune da virus informatici vari. In passato vi abbiamo riportato diverse notizie riguardanti malware in grado di mettere a repentaglio la sicurezza dei nostri dispositivi e la nostra privacy. Oggi vi parliamo di una nuova frontiera raggiunta dai malware Android, che riguarda il code injection (iniezione di codice).

Kaspersky, sviluppatore di un noto antivirus e di software per la sicurezza in genere, ha infatti scoperto Dvmap, un nuovo malware che fa uso dell'iniezione di codice, una pratica che consiste nell'installare frammenti di codice malevolo direttamente nelle librerie di runtime del sistema operativo Android. Come se non bastasse, le app infettate da questo malware non sono soltanto i classi apk che utenti incauti e sprovveduti scaricano dai meandri più oscuri del web, bensì si tratta di app presenti sul Play Store, apparentemente innocue. Com'è possibile?

Chi ha sviluppato Dvmap ha escogitato anche una strategia particolare per aggirare i controlli di Google e non dare troppo nell'occhio.

Infatti inizialmente uno sviluppatore con nome fittizio carica un'app pulita sul Play Store (ad esempio Colourblock, un gioco molto semplice ed immediato), per poi successivamente rilasciare un aggiornamento che porta con sé il malware. Proprio per non essere colto in flagrante, lo sviluppatore ripulisce l'app nel giro di una giornata, conscio che qualche utente avrà abboccato alla sua esca. Kaspersky riferisce che questo giochino viene ripetuto con una certa frequenza, fino a 5 volte in un mese.

Kaspersky ha segnalato l'app infetta a Google, che l'ha prontamente rimossa dal Play Store, tuttavia non è sicuro che questo tipo di malware sia stato definitivamente debellato. Il fine di Dvmap è di permettere l'installazione di altre app che richiedono i privilegi di root, provenienti da store di terze parti. Dvmap è in grado di fornire i permessi a queste app, nascondendo però le proprie tracce, in modo che il sistema stesso e altre app con sistemi di controllo verso i permessi di root (ad esempio le app delle banche) non siano in grado di scovare il virus.

Il malware individuato da Kaspersky pare che fosse in una fase iniziale di sviluppo, quindi non è stato in grado di infliggere tutti i danni di cui potenzialmente sarebbe stato capace. Nonostante ciò, ha consigliato a tutti gli utenti che avevano scaricato e installato il malware di eseguire un ripristino alle condizioni di fabbrica, per ripulire completamente il proprio dispositivo. Quindi fate attenzione a scaricare app semisconosciute dal Play Store e, nel caso negli ultimi mesi vi fosse capitato di scaricare qualche app di cui non avete più notizie e che ora risulta rimossa dal Play Store, vi consigliamo caldamente di seguire le indicazioni di Kaspersky in via precauzionale.