Dopo la segnalazione di ieri torniamo a parlare di malware Android grazie alla segnalazione di Upstream, una compagnia di sicurezza che già in passato ha scovato altri pericoli per i nostri smartphone.

Protagonista della segnalazione è la tastiera Ai.type, scaricata oltre 40 milioni di volte dal Play Store, che a quanto pare ha la cattiva abitudine di effettuare acquisti all’insaputa degli ignari utenti. Non solo, l’app crea guadagni illeciti attraverso una serie di falsi click generati mostrando dei banner in background, per una truffa davvero ben organizzata.

Disinstallate subito il malware

Anche se al momento le attività pericolose sono concentrate soprattutto in Egitto e in Brasile, con altri 11 Paesi coinvolti, vi consigliamo di rimuovere immediatamente l’applicazione qualora fosse presente sui vostri dispositivi.

Sviluppata dall’israeliana Ai.type LTD, l’omonima applicazione era dedicata agli appassionati di emoji ed è rimasta sullo store di Google fino allo scorso mese di giugno. Nonostante questo l’applicazione risulta ancora presente in numerosi store alternativi e in decine di milioni di smartphone, e ha causato un forte numero di attività sospette proprio in concomitanza con la rimozione dal Play Store.

Guy Kiref e Dimitris Maniatis, rispettivamente CEO e capo della sicurezza di Upstream, ci illustrano a grandi linee il funzionamento di questo pericoloso malware Android.

Malware controllato da un server Command & Control

Il mercato delle truffe legate ai banner pubblicitari è in forte espansione e genera un traffico pari a 40 miliardi di dollari, con malware che, in alcuni mercati, vanno a colpire un dispositivo su dieci, una percentuale davvero elevata. Nel caso di Ai.type gli sviluppatori hanno inserito un SDK con link diretti ai banner, con una serie di reindirizzamenti, tutti operanti in background, che attivavano sottoscrizioni a pagamento, il tutto a insaputa degli utenti.

Upstream ha rilevato non meno di 14 milioni di richieste di transazioni sospette, provenienti da circa 110.000 dispositivi Unici,. La compagnia ha immediatamente bloccato le operazioni che, se fossero effettivamente andate a buon fine, sarebbero costate agli utenti circa 18 milioni di dollari in addebiti indesiderati.

Il SDK operava inoltre un offuscamento dei link utilizzati e scaricava codice addizionale, per rendere più difficile l’identificazione, anche utilizzando le più sofisticate tecniche di analisi. Il risultato, per gli utenti, è rappresentato da acquisti non autorizzati, peggioramento delle prestazioni del dispositivo e consumo anomalo di dati.

Se doveste aver scaricato Ai.type verificate che non ci siano stati addebiti anomali in fattura, anche in quella del Play Store se effettuate gli acquisti con il credito telefonico, e verificate eventuali consumi di traffico anomali, una spia di allerta da non sottovalutare nel caso siano presenti malware Android nel vostro smartphone.

Potete conoscere maggiori dettagli, anche tecnici, sulla vicenda, consultando la ricerca pubblicata da Upstream a questo indirizzo.