NewsTecnologia

Checkpoint scopre SimBad e SWAnalytics, due malware Android basati su SDK

Gli appassionati di giochi di simulazione su Android si sono trovati una brutta sorpresa: 206 app, fra cui Ambulance Rescue DrivingFarming Tractor Real Harvest SimulatorFire Truck Emergency Driver, sono state affette da un fastidioso adware, SimBad, e scaricate 150 milioni di volte prima che Google riuscisse a rimuoverle. 

SimBad, un adware diffuso tramite SDK

Come è possibile che su uno store controllato come quello di Google possano finire ben 206 app di diversi produttori, tutte contenenti lo stesso adware? La soluzione la indica Check Point Research, che ha scoperto come tutte queste app avessero in comune l’utilizzo del medesimo SDK, RXDrioder, che si occupa di gestire gli annunci pubblicitari all’interno delle app. Probabilmente molti si erano affidati a questo particolare Software Development Kit perché offriva condizioni vantaggiose rispetto alla concorrenza. Peccato che contenesse un adware denominato SimBad che martella gli utenti con continue schermate pubblicitarie anche fuori dall’app, apre costantemente il PlayStore su pagine specifiche (diffondendosi così a macchia d’olio) e rendirizza il browser verso siti pubblicitari. Basta così? Magari. SimBad è talmente infido che nasconde le icone di avvio, così da impedire la disinstallazione delle app infette, e scarica automaticamente altre app sotto forma di APK, chiedendo comunque all’utente l’autorizzazione per installarle. 

Una volta installata una delle app infette, SimBad si attiva e contatta il server C&C (Command & Control) dal quale riceve le successive istruzioni. Lo scopo del malware è di monetizzare mostrando inserzioni a raffica, anche fuori dall’app, ma il fatto che potesse anche reindirizzare il browser del terminale verso specifici indirizzi web indica che può essere usato per attacchi di tipo phishing. La possibilità di forzare il download di APK e chiederne l’installazione all’utente aprie anche la strada all’installazione di software di controllo remoto. 

SimBAD android adware

Google ha già eliminato tutte le applicazioni infette dallo store. La lista completa delle app colpite è disponibile qui

SWAnalytics, il malware cinese per Android che ruba i contatti

L’unica cosa che accomuna SWAnalytics e SimBad è che entrambi sono stati veicolati all’interno di app “legittime” tramite SDK, quindi all’insaputa degli sviluppatori. Per il resto si tratta di due malware completamente differenti negli scopi. SimBad punta al guadagno facile subissando l’utente di pubblicità mentre SWAnalytics è più subdolo e sottrae silenziosamente le email di tutti i contatti sulla rubrica, che vengono poi inviati a un server. SWAnalytics si è diffuso solo sul Play Store cinese ed è stato rintracciato all’interno di sole 12 app che però sono state scaricate in totale ben 111 milioni di volte. Almeno in teoria potrebbe aver collezionato le informazioni di contatto di un terzo della popolazione cinese.