Selfmite è tornato in una forma più aggressiva. Il worm, individuato a fine giugno, non sfrutta una particolare vulnerabilità di Android, ma la propensione degli utenti di “tappare” i link contenuti nei messaggi, senza prestare molta attenzione. Il malware si diffonde quindi tramite una tecnica di social engineering. La nuova versione, Selfmite.b, funziona in modo analogo alla precedente, ma in questo caso il conto che l’utente dovrà pagare sarà molto più alto.
Selfmite.a si diffondeva attraverso l’invio di SMS contenenti link a file APK infetti. Il messaggio di testo veniva inviato ai primi 20 contatti nella rubrica. Selfmite.b, invece, invia i messaggi in loop a tutti i contatti. In base ai dati registrati da AdaptiveMobile, il worm ha inviato oltre 150.000 SMS da più di 100 dispositivi negli ultimi 10 giorni. Ciò significa circa 1.500 SMS per ogni device, un numero enorme e una spesa molto elevata per gli utenti che non hanno un piano tariffario illimitato. Gli operatori telefonici possono rilevare l’abuso del servizio, ma verranno bloccati anche gli SMS legittimi.
Selfmite.a usava il servizio di URL shortening di Google, per cui la sua diffusione è stata bloccata dopo l’intervento dell’azienda di Mountain View. Selfmite.b usa ancora un servizio di URL shortening (questa volta di Go Daddy), ma le URL sono indicate in un file di configurazione che il worm scarica da un server di terze parti. Go Daddy ha disattivato il suo servizio, tuttavia l’autore del worm può facilmente cambiarlo nel file di configurazione, rendendo più difficile bloccare il processo.
I file APK che vengono installati sul dispositivo della vittima sembrano app legittime (Mobogenie e Mobo Market), ma in realtà le loro icone sono link a pagine web che offrono servizi premium. Il worm permette al suo autore di ricavare profitti anche mediante una versione infetta dell’app Google+. Un tap sull’icona apre il Google Play Store e, all’uscita dal negozio digitale, viene aperta una pagina web di un servizio a pagamento. In entrambi i casi, il guadagno si ottiene dalle inserzioni pubblicitarie.
Dato che Selfmite non sfrutta nessun bug di Android, la soluzione è semplice: non attivare l’opzione che consente l’installazione di app da fonti sconosciute.