Nei giorni scorsi dai laboratori Panda Security era giunto un particolare allarme relativo alla scoperta di un cellulare HTC che, passato al vaglio appena estratto dalla confezione, già manifestava la presenza di un worm fornito “OEM” all’acquisto. Due file (autorun.inf e autorun.exe) avevano infatti insospettito un ricercatore, il quale ha approfondito il codice scoprendo la presenza di un malware ricollegabile alla botnet “Mariposa”. A distanza di pochi giorni quello che sembrava essere un isolato allarme trova però una sfortunata conferma: un secondo cellulare HTC Magic infetto è stato scoperto in Spagna.
Le due esperienze sono direttamente ricollegate. Un ricercatore spagnolo (laboratori S21Sec), infatti, dopo aver letto della precedente disavventura segnalata dai laboratori Panda, ha testato il proprio HTC Magic (con Google Android) ed ha scoperto a sua volta l’infezione. Molte le similitudini con il primo caso poiché entrambe le unità manifestavano i segni propri della botnet Mariposa oltre a tutta una serie di worm aggiuntivi a fungere da contorno. Il contesto della seconda infezione è pertanto del tutto simile al primo: «Una volta lanciato l’eseguibile, il file tenta di contattare server remoti a cui è deputata l’azione maligna che la botnet intende portare a segno. Con buona probabilità, spiega il team, il file tenta di scaricare le credenziali dell’utente per l’invio ad un server di raccolta per un successivo trattamento o commercializzazione del materiale reperito».
L’infezione scoperta con AVG
La successiva analisi Panda ha potuto confermare la medesima matrice delle due infezioni: uguale il codice, uguali le firme, uguale la fonte. Il tutto al cospetto di due antivirus differenti: Panda prima, AVG poi. Nel proprio post il gruppo consiglia inoltre una manovra necessaria: chi avesse acquistato nelle ultime settimane un cellulare HTC Magic dovrebbe immediatamente controllare tanto il proprio smartphone (in particolare la memoria microSD) quanto il proprio pc per evitare che l’esecuzione automatica del malware possa far danni.
HTC Magic
In entrambi i casi lo smartphone era stato acquistato online direttamente dal sito web Vodafone. Il gruppo ha spiegato che l’approfondimento sul caso è in atto per verificare immediatamente la possibile origine del problema e soprattutto per intraprendere tutte le azioni necessarie al fine di risolvere tanto la situazione attuale, quanto l’emergere in futuro di ulteriori problematicità similari. L’HTC Magic, nel frattempo, sta già per scomparire dallo store online con una manovra apparentemente legata più ad un ricambio generazionale che non allo specifico problema della botnet.