Judy, il malware acchiappaclic: colpiti quasi 40 milioni di utenti Android

JUDY potrebbe aver provocato più di 36,5 milioni di infezioni su dispositivi Android. Stavolta, però, si è trattato di un malware un po’ particolare, in grado cioè di generare automaticamente falsi clic pubblicitari. Uno dei mercati più redditizi, fra l’altro, quello delle finte “impression” per le inserzioni online.

Si tratta di un malware individuato dalla società di sicurezza Check Point, che l’avrebbe stanato in 41 applicazioni firmate dalla coreana Kiniwini, pubblicate sotto l’etichetta Enistudio Corp. e rivolte a un pubblico di giovanissimi. Per giunta contraddistinte anche da giudizi positivi. Quel piccolo gruppo di applicazioni sarebbe stato in grado di generare un largo numero di infezioni per “produrre una grande quantità di clic fraudolenti su banner pubblicitari e partorendo introiti per chi li ha messi a punto”.

Anche se non sembra pericolosa per informazioni e dati degli utenti, potrebbe sfiorare un record certo non invidiabile: quello della “più ampia campagna malware scovata su Google Play” secondo gli esperti di Check Point. Google ha già rimosso le applicazioni dal suo negozio digitale dopo essere stata avvisata dalla società. Non prima, tuttavia, che fossero scaricate da un numero oscillante fra 4,5 e 18,5 milioni di volte. “Non è chiaro da quanto tempo il codice malevolo fosse nascosto in quelle applicazioni – ha spiegato l’azienda di sicurezza – e la rapidità di diffusione rimane sconosciuta. Per questo l’effettiva propagazione del malware pubblicitario potrebbe essere compresa fra 8,5 e 36,5 milioni di utenti nonostante un più basso numero di scaricamenti.

Ma come funziona Judy, che sembra aver serenamente superato i controlli di sicurezza imposti da Big G alle applicazioni disponibili su Play Store e si ricollegherebbe a predecessori come FalseGuide e Skinner? “Una volta che l’utente ha scaricato l’applicazione questa registra silenziosamente delle connessioni con il server di controllo” e in seguito avvia dei collegamenti con una serie di indirizzi url tramite una pagina web nascosta “travestendosi” da pc e rimbalzando a sua volta su un vari siti: a quel punto il codice JavaScript si occupa di individuare i banner di Google Ads cliccandoci sopra e imitando un’azione umana. Insomma, una colossale botnet controllata da remoto che usa gadget zombie per simulare traffico pubblicitario. E fare soldi.

Fonte: La Repubblica

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *