I ricercatori di SophosLab hanno rilevato una nuova minaccia che ha colpito gli utenti di Google Play durante marzo e aprile, nascosta in app apparentemente innocue di photo editing e giochi.
Ancora una volta a mettere a rischio la sicurezza degli utenti è Guerilla, il malware che già in passato aveva compromesso la sicurezza di alcune App disponibili su GooglePlay.
Il malware è stato rilevato in 25 App, tutte immediatamente segnalate a Google Play. Il pericoloso trojan, denominato Andr/Guerilla-D, oltre a compromettere le funzionalità delle applicazioni si connette a server remoti all’insaputa dell’utente, e ricevono istruzioni per scaricare file JAR (Java Archive) dannosi.
L’utente non si accorge che il suo smartphone sta cliccando su Google Ads in background; in questo modo, vengono generate entrate pubblicitarie fraudolente per gli sviluppatori delle App.
Questa nuova famiglia di app Guerilla mostrano delle differenze tecniche rispetto a quelle rilevate nei primi mesi di quest’anno. Come quelle precedenti, nascondono i loro payload in file di testo, nominati atop.txt o atgl.txt. Per evitare di essere rilevati, i file JAR sono criptati con algoritmi DES e decriptati direttamente dallo smartphone.
Purtroppo non esiste una soluzione definitiva a questo tipo di problema: Google Play resta indubbiamente un ambiente sicuro e una fonte affidabile per quanto concerne l’acquisto delle App ma naturalmente nessun processo di revisione delle applicazioni può essere infallibile, quindi ciò che Sophos raccomanda agli utenti è di proteggersi con software di sicurezza adeguati anche sul proprio smartphone.
