I ricercatori di Trend Micro hanno scoperto un malware, denominato Xavier, in oltre 800 app gratuite pubblicate sul Google Play Store. Si tratta di un trojan camuffato come “ad library” usata per mostrare banner pubblicitari che, per qualche ignoto motivo, non è stata intercettata dallo scanner dell’azienda di Mountain View. Secondo gli esperti di sicurezza, le app infette sono state scaricate milioni di volte. Il pericolo è ora cessato, in quanto Google ha eliminato tutte le app dallo store.
La presenza dei banner pubblicitari è comune nelle app gratuite, essendo questo l’unica fonte di guadagno degli sviluppatori. Xavier, invece, viene installato insieme a varie app Android, tra cui wallpaper, photo editor e player musicali, con l’obiettivo di rubare i dati personali degli utenti. Il maggior numero di vittime risiede nel Sud-est asiatico (Filippine, Vietnam e Indonesia), ma sono stati rilevati download anche in Europa e Stati Uniti. Il malware è stato aggiornato negli ultimi due anni, diventando un software molto sofisticato.
Inizialmente era un “normale” adware in grado di eseguire codice remoto. La nuova versione possiede funzionalità aggiuntive, come la capacità di nascondersi ai tool di rilevazione e analisi, scaricare codice da un server C&C (command and control) e rubare informazioni sensibili, tra cui indirizzi email, app installate, modello del dispositivo, versione del sistema operativo, lingua, paese e nome dell’operatore telefonico.
Trend Micro suggerisce di non scaricare app poco note, anche se pubblicate sul Google Play Store. Eventualmente è possibile leggere le recensioni degli altri utenti. È consigliabile inoltre installare gli ultimi aggiornamenti di Android (se disponibili) e un antivirus mobile.