Lookout scopre oltre 20.000 "auto-rooting adware" nell'ecosistema Android.

In questi giorni alcuni ricercatori di Lookout, (nota compagnia di cybersicurezza concentrata soprattutto sui dispositivi mobili), hanno scoperto un nuovo tipo di malware che effettua automaticamente il root dei dispositivi Android, al termine dell'installazione. In pratica si tratta dei cosiddetti "auto-rooting adware", i quali risultano essere impossibili da rimuovere e si nascondono all'interno di applicazioni che apparentemente sembrano legittime, (come, ad esempio, Facebook, Twitter e WhatsApp). Tuttavia in questo caso non si parla di una vulnerabilità presente nel sistema operativo, ma di un problema di sicurezza causato dalla negligenza degli utenti. In sostanza Lookout ha individuato oltre 20.000 campioni di cosiddette "trojanized apps" presenti su store di terze parti: qualcuno, (l'autore resta tuttavia non ben noto), ha scaricato le applicazioni ufficiali dal Google Play Store ed ha poi effettuato il repackaging, inserendo al loro interno il codice infetto. Inoltre, come già noto, le applicazioni modificate offrono le stesse funzionalità di quelle originali, ma vengono installate come applicazioni di sistema con privilegi di root. Motivo per il quale gli auto-rooting adware, (come Shedun, Shuanet e ShiftyBug), vengono eseguiti in background e non possono essere disinstallati; il che significa che per liberarsi di tale infezione l'utente deve chiedere aiuto ad un professionista oppure acquistare un nuovo dispositivo. Ad ogni modo i ricercatori di Lookout hanno rilevato una maggiore diffusione di questo genere di adware principalmente in 10 Paesi, (ossia Stati Uniti, Germania, Iran, Russia, India, Giamaica, Sudan, Brasile, Messico ed Indonesia). Tra l'altro, considerando che la maggior parte del codice è comune ai suddetti 3 adware, i ricercatori ritengono che sono siano creati dallo stesso autore o dallo stesso gruppo. Per di più gli adware vengono solitamente sfruttati per mostrare banner e pop-up, mentre gli auto-rooting adware possono accedere in lettura e scrittura al file system di Android, superare la protezione della sandbox ed eseguire molte azioni negate alle applicazioni normali, tra cui il furto delle password. Insomma, ancora una volta, il consiglio degli esperti è quello di scaricare le applicazioni esclusivamente dallo store ufficiale di Google.