I ricercatori di Kaspersky hanno scoperto un nuovo malware che utilizza i processi Windows per infettare gli smartphone Android. Il software malevolo viene distribuito mediante due app presenti sul Google Play Store, la cui funzione principale è liberare la memoria del sistema operativo mobile. In realtà, Superclean e DroidCleaner inviano numerose informazioni verso server remoti, quando il terminale viene collegato alla porta USB del computer.
Oltre ad eseguire i comandi di “pulizia”, le due app effettuano il download in background di tre file – autorun.inf, folder.ico e svchosts.exe – molto conosciuti dagli utenti che utilizzano i sistemi operativi Microsoft. Questi file vengono salvati sulla memory card SD dello smartphone. Quando il telefonino viene collegato alla porta USB del PC, il sistema esegue automaticamente il file svchosts.exe. Dietro il nome del noto processo Windows si nasconde in realtà una backdoor (Backdoor.MSIL.Ssucl.a) che prende il controllo del microfono, registra le conversazioni ed invia i file al server remoto in forma criptata.
Nelle versioni recenti di Windows la funzionalità di Autorun è disattivata per i drive esterni. Tuttavia ci sono ancora molti utenti che utilizzano ancora vecchie release del sistema operativo. Le vittime preferite dal malware sono i possessori di smartphone Android economici che, ad esempio, connettono il terminale al PC per caricare sulla card SD i file musicali.
La versione Android del malware include numerose feature che possono essere sfruttate per raccogliere informazioni sul dispositivo, attivare la rete WiFi, inviare SMS, aprire link arbitrari nel browser, cancellare tutti gli SMS ed effettuare l’upload verso un server remoto dei contenuti della card SD, di file o cartelle, di contatti, foto e coordinate geografiche. Kaspersky consiglia di scaricare dal Google Play Store solo app con un alto numero di download e provenienti da sviluppatori affidabili.