Nell'Android Market ci sono 13 nuove applicazioni infestate dal malware Android.Counterclank, che secondo Symantec avrebbe già contagiato cinque milioni di dispositivi Android. L'azienda ha stabilito che la nuova minaccia è un trojan, variante del già conosciuto Android.Tonclank, un bot che può ricevere comandi dall'esterno per effettuare determinate azioni all'insaputa dell'utente o rubare informazioni.
Un nuovo malware Android ha contagiato 5 milioni di dispositivi
Secondo Symantec il malware potrebbe copiare i preferiti, modificare la home page del browser, e recuperare dati come l'ID Android , l'indirizzo MAC e il numero di serie della scheda SIM.
Un'indagine condotta da ArsTechnica ha rivelato che parte delle applicazioni malevole è già stata rimossa dopo l'allarme di ieri, ma che ad oggi si possono ancora scaricare sei applicazioni contagiose, pubblicate da tre differenti autori.
C'è anche da dire che secondo Symantec se da un lato Android.Counterclank è all'origine di una delle epidemie più diffuse in ambito Android nell'ultimo anno, dall'altro il livello di rischio è stato definito "molto basso" in quanto nella maggior parte dei casi si tratta di applicazioni dall'erotico al pornografico (NSFW, Not Safe For Work) come gli strip puzzle e simili, per i quali il market visualizza già messaggi di allerta sulla sicurezza prima del download.
Il codice nascosto con il metodo della steganografia
Quello che l'utente scarica è un cavallo di Troia nascosto all'interno di un'icona con il metodo della steganografia - una tecnica per nascondere messaggi che era in vigore fin dall'antica Grecia per tramare complotti. La trasposizione moderna è che il codice del malware viene camuffato all'interno di un'icona, come spiegato da F-Secure. I ricercatori per la sicurezza si sono insospettiti quando si sono imbattuti in una riga di codice in cui in teoria avrebbe dovuto essere presente solo il link all'icona, e in realtà c'erano informazioni estranee.
Un ulteriore approfondimento ha rivelato che, nel caso in esame, il codice era impiegato per controllare i messaggi di testo inviati dal telefono. Gli utenti, invece, si insospettivano per il fatto che non appena cancellavano l'icona indesiderata questa ricompariva come se niente fosse. Inoltre, l'icona in questione rimanda a una pagina web che assomiglia in modo sospetto alla pagina di ricerca di Google. Questo elemento è pertanto il sintomo inequivocabile dell'infezione di Android.Counterclank.