Bouncer, il nuovo filtro antivirus e anti-malware di Android Market, è già a rischio per colpa di Rootsmart. A neanche una settimana dalla sua presentazione (Android Market adotta il filtro anti-virus e anti-malware), un docente della North Carolina State University ha confermato l'esistenza di una variante di un malware Android capace di eludere il nuovo sistema di difesa. In pratica, in fase di installazione è praticamente inerte e non rilevabile, ma poi successivamente a distanza di ore o giorni è in grado di richiamare un nuovo codice maligno da un server remoto.
Magari dorme ma alla vista dovrebbe riconoscersi
A quel punto si comporta come un classico malware, e nello specifico grazie all'exploit "GingerBreak" non solo accede a ogni dato del terminale ma può consentire a cyber-criminali di ascoltare chiamate, accedere a dati e fare chiamate a pagamento in remoto. Non meno pericolosa la possibilità di installare segretamente app come DroidLive, che sono in grado di spedire SMS a numeri a pagamento legati alle organizzazioni criminali.
Nell'ambiente il trucco usato dal malware viene chiamato "escalation di privilegi", e secondo gli esperti sarebbe impossibile su una piattaforma come l'Apple Store - dove viene ammesso esclusivamente il codice approvato (con tutte le conseguenze del caso).
Il dormiente
La buona notizia è che Rootsmart, per il momento, è stato individuato solo su un sito Android cinese e non sul market ufficiale. Quel che preoccupa però il professore Xuxian Jiang e il suo team è la replicabilità della modalità di attacco. "Tutto questo potrebbe creare problemi a un sistema come Bouncer", ha spiegato il docente. "Mi aspetto di vederne altri di questi in futuro".
Il sistema Android infatti analizza tutte le app presenti sul Market e ne testa il funzionamento in modalità virtuale. Un dormiente difficilmente potrà essere individuato in questo modo.