Identificato nuovo malware in Android: il camaleontico Strandhogg 2.0 si finge un'app normale per rubare dati (foto)

A volte tornano, più cattivi di prima. Il malware Strandhogg era già stato identificato qualche tempo fa, ma ora un nuovo studio ha rivelato che ne esiste una nuova versione più potente e pericolosa. Il codice "malevolo" infatti sfrutta una vulnerabilità di Android per fingersi un'altra app e rubare i dati degli utenti. Non solo: una volta che si è auto-iniettato all'interno di un'altra applicazione può usarne i permessi per accedere a qualsiasi tipo di informazione, comprese password, messaggi, foto e geolocalizzazione in tempo reale.

Prima di allarmarsi chiariamo subito che i ricercatori di Promon, che lo hanno scovato, prima di rivelarne l'esistenza hanno atteso che Google rilasciasse una patch di sicurezza che mette al riparo gli utenti da Strandhogg 2.0. Inoltre, stando a quanto dichiarato da Google, non sembra che l'anomalia sia stata sfruttata da qualcuno e comunque Play Protect è in grado di rilevare la minaccia e bloccarla.

Ad ogni modo la vulnerabilità sfruttata è presente solo su dispositivi aggiornati fino ad Android Pie.

Strandhogg 2.0 essenzialmente sfrutta il sistema di multitasking di Android - quello che consente di passare da un'app all'altra senza dover attendere che si riavvii da capo ogni volta. Una volta scaricato sul telefono, magari camuffato da app qualsiasi, il codice si frappone tra l'utente e una qualsiasi altra applicazione aperta, mostrando una schermata di accesso in cui l'utente è invitato a inserire le proprie credenziali dopodiché torna a operare sottocoperta lasciando emergere l'app in questione come se il login fosse stato completato correttamente.

Il malware non ha bisogno di richiedere nessun permesso specifico per operare perché, come dicevamo in apertura, riesce a sfruttare quelli delle app in cui si intrufola, rendendosi praticamente invisibile ai sistemi di difesa del dispositivo e riuscendo ad aggirare anche le autenticazioni a due fattori. Tutti i dati raccolti, poi, possono essere inviati a un server remoto.

In effetti il rischio di essere colpiti da un simile malware è piuttosto scarso, ma non nullo. Per questo tutti gli utenti sono invitati a installare le ultime patch di sicurezza disponibili (una pratica che andrebbe seguita sempre, a prescindere da allarmi come questo). Chiudiamo con una curiosità: Strandhogg è una parola norrena che indica un particolare tipo di attacco basato sull'uso di spie a scopo di razzia o più estesamente, una acquisizione ostile.