I ricercatori di Lookout hanno scoperto un nuovo tipo di malware che effettua automaticamente il root del dispositivo, al termine dell’installazione. Gli auto-rooting adware, impossibili da rimuovere, si nascondono all’interno di applicazioni che apparentemente sembrano legittime, come Facebook, Twitter e WhatsApp. Questa volta però non si tratta di vulnerabilità del sistema operativo, ma di un problema di sicurezza causato dalla negligenza degli utenti.
Lookout ha individuato oltre 20.000 campioni di “trojanized apps” su store di terze parti. Qualcuno (l’autore non è noto) ha scaricato le app ufficiali dal Google Play Store ed effettuato il repackaging, inserendo il codice infetto. Le applicazioni modificate offrono le stesse funzionalità delle app originali, ma vengono installate come app di sistema con privilegi di root. Gli auto-rooting adware, come Shedun, Shuanet e ShiftyBug, vengono eseguiti in background e non possono essere disinstallati. Ciò significa che l’utente deve chiedere aiuto ad un professionista oppure acquistare un nuovo dispositivo.
Lookout ha rilevato una maggiore diffusione di questo genere di adware in dieci paesi (Stati Uniti, Germania, Iran, Russia, India, Giamaica, Sudan, Brasile, Messico e Indonesia). Dato che la maggior parte del codice è comune ai tre adware, i ricercatori ritengono che sono siano creati dallo stesso autore o dallo stesso gruppo.
Solitamente gli adware vengono sfruttati per mostrare banner e popup. Gli auto-rooting adware, invece, possono accedere in lettura e scrittura al file system di Android, superare la protezione della sandbox ed eseguire molte azioni negate alle app normali, tra cui il furto delle password. Ancora una volta, il consiglio è quello di scaricare le app esclusivamente dallo store Google.