SimBad, adware Android in oltre 200 app

I ricercatori di Check Point hanno scoperto un nuovo tipo di malware nascosto in oltre 200 app Android pubblicate sul Google Play Store e scaricate quasi 150 milioni di volte. Nonostante i miglioramenti apportati alla piattaforma, le tecniche di scansione adottate da Google non riescono ancora a bloccare questo genere di pericoli.

Il nome scelto da Check Point, ovvero SimBad, è dovuto al fatto che la maggioranza delle app sono giochi di simulazione. Il malware in questione è presente in RXDrioder, un SDK utilizzato per mostrare inserzioni pubblicitarie. La software house israeliana ritiene che gli sviluppatori delle app erano ignari del contenuto. SimBad è un adware che esegue diverse azioni all’insaputa dell’utente. Tra l’altro, le app infette scaricate da server remoto sono difficili da rimuovere, in quanto l’icona corrispondente non viene mostrata nel launcher.

SimBad può funzionare sia all’avvio dello smartphone che durante l’uso da parte dell’utente. Al termine dell’installazione si collega ad un server C&C (Command and Control) e inizia a visualizzare banner pubblicitari che generano profitti fraudolenti. Il malware può aprire determinati indirizzi nel browser, generare pagine di phishing e quindi eseguire attacchi di tipo spear-phishing. Infine può scaricare app infette contenenti altri malware.

Il dominio del server C&C, registrato tramite GoDaddy, è scaduto sette mesi fa. Check Point ipotizza che l’uso iniziale fosse legittimo, ma successivamente è stato sfruttato per attività illecite. Gli autori di SimBad potrebbero in futuro aggiungere nuove funzionalità, trasformando il malware in qualcosa di più distruttivo.

Check Point ha immediatamente avvisato Google. Tutte le app infette sono state prontamente rimosse dal Google Play Store.