I ricercatori di Zimperium hanno scovato un nuovo malware che si è intrufolato in oltre un milione di smartphone Android utilizzando un falso updater per WhatsApp, la più diffusa applicazione di messaggistica istantanea. L’applicazione, oltre a non scaricare nessun aggiornamento, invitava a scaricare l’applicazione Cold Jewel Lines.
Dopo aver installato l’applicazione, che contiene un malware destinato ad arricchire il suo creatore grazie a una serie di banner pubblicitari fraudolenti, l’utente viene riportato all’applicazione che mostra una presunta serie di server che dovrebbero consentire l’aggiornamento.
In realtà ogni tocco porta all’apertura di un numero spropositati di banner pubblicitari e non porteranno a nessun aggiornamento. Il falso updater risulta invisibile a un occhio inesperto visto che non ha nessun nome nel file Manifest e ha un’icona trasparente, che però occupa uno spazio nel launcher.
L’applicazione è inoltre visibile nell’elenco di quelle installate, ed è quindi destinata a trarre in inganno gli utenti meno smaliziati. Il malware sembra avere potenzialità per compiere azioni più pericolose, con la possibilità di eseguire operazioni che richiedono permessi elevati. Tuttavia sembra che non siano state effettuate operazioni diverse da quelle dedicate alla raccolta di denaro attraverso i banner.
Quello che appare strano è che il sistema di filtraggio del Play Store di Google possa farsi ingannare da una compagnia il cui nome è “WhatsApp Inc. ” con uno spazio alla fine a renderlo diverso dall’originale. La palese differenza tra il nome dell’applicazione e il nome del pacchetto dovrebbe quantomeno allertare i sistemi automatici, che evidentemente non sono ancora così raffinati.
Per conoscere maggiori dettagli tecnici sul malware vi lasciamo all’articolo di approfondimento di Zimperium, raggiungibile a questo indirizzo.