Google ha appena rimosso un’applicazione dal Play Store su segnalazione di Check Point, un’azienda israeliana specializzata in soluzioni di cybersecurity. L’applicazione, scaricata poco più di 10.000 volte, conteneva il malware Skinner che grazie a una tecnica innovativa per massimizzare i guadagni senza attirare troppo l’attenzione con una diffusione massiccia.

Il malware, capace di nascondersi nell’applicazione per un paio di mesi, era in grado di geolocalizzare con estrema precisione l’utente e poteva eseguire codice arbitrario dal proprio server senza il consenso dell’utente. Skinner si è dimostrato particolarmente evasivo grazie a una tecnica di offuscamento personalizzata che lo ha reso particolarmente difficile da individuare.

Una volta installata una propria libreria il malware rimane in attesa dell’avvio di un’applicazione da parte dell’utente eseguendo una accurata serie di controlli. Skinner infatti si assicura di non essere in esecuzione su un emulatore hardware, che non sia attivo un debugger e che l’applicazione avviata sia stata scaricata dal Play Store, proprio per evitare di essere in qualche modo intercettato.

A questo punto il server del malware inizia a mandare degli annunci pubblicitari mirati, basati sul contenuto dell’applicazione in modo da non destare sospetti, a differenza di altri malware che puntano a ottenere valanghe di clic prima di essere scoperti.

Secondo Check Point si tratta del primo di una serie di malware che introdurranno tecniche di evasione sempre più avanzate per evitare di essere scoperte e poter proliferare in maniera lenta e probabilmente ancora più pericolosa.