I ricercatori di Check Point hanno scoperto un nuovo tipo di malware che viene distribuito attraverso app pubblicate sul Google Play Store. L’azienda ha scelto il nome Viking Horde (orda vichinga) perché il codice infetto è stato individuato in almeno cinque applicazioni che hanno superato i controlli dello store, senza essere intercettati dallo scanner. Tutte le app incriminate sono state eliminate, in seguito alla segnalazione di Check Point.
I dispositivi sui quali viene installato Viking Horde diventano parte di una botnet che viene utilizzata per eseguire diverse azioni, tra cui attacchi DDoS. Analizzando i dati raccolti da uno dei server C&C (command & control), Check Point ha notato che la maggioranza degli utenti colpiti si trova in Russia (44%). Quando l’utente esegue una delle app infette (Viking Jump, Wi-Fi Plus, Memory Booster, Parrot Copter e Simple 2048), il malware effettua il collegamento con il server remoto e attende la ricezione dei comandi. L’obiettivo principale è simulare clic sui banner presenti nei siti web, ma alcuni utenti hanno segnalato anche la ricezione di SMS premium.
I dispositivi rooted corrono un rischio maggiore di quelli non rooted. Viking Horde, infatti, scarica malware aggiuntivo che permette di eseguire qualsiasi codice da remoto, compromettendo la sicurezza del dispositivo. Grazie ai privilegi di root è difficile, se non impossibile, rimuovere manualmente il malware.
Prima della sua rimozione, l’app Viking Jump era stata scaricata tra 50.000 e 100.000 volte, quindi molti utenti potrebbero avere il malware sul proprio smartphone. Check Point non spiega se e come Viking Horde può essere rilevato e cancellato dal dispositivo. Probabilmente la soluzione migliore è un ripristino delle impostazioni di fabbrica.