Eulogic Blog

Sono state scoperte oltre 800 applicazioni Android (con milioni di download su Google Play Store) infette da una libreria di annunci pubblicitari dannosa, in grado di raccogliere silenziosamente i dati sensibili dell’utente e di eseguire operazioni pericolose.

Denominato “Xavier” e inizialmente emesso nel settembre 2016, il malware è membro della famiglia dei AdDown, una grave minaccia per milioni di utenti Android.
Dal momento che il 90 per cento delle applicazioni Android è scaricabile gratuitamente, la pubblicità su di esse è una fonte di reddito fondamentale per i propri sviluppatori. Per questo, essi integrano la libreria di annunci Android SDK nelle loro applicazioni, che di solito non influenza le funzionalità principali dell’applicazione.

Secondo i ricercatori di sicurezza di Trend Micro, la libreria viene preinstallata su un’ampia gamma di applicazioni Android, tra cui editor di foto, sfondi e riproduttori di suoni, tracciamento telefonico, Volume Booster, Ram Optimizer e riproduttore musicale.

La variante precedente della libreria di Xavier Ad era un semplice adware in grado di installare altri APK silenziosamente sui dispositivi mirati, ma, nell’ultima versione, l’autore del malware ha sostituito queste funzionalità con altre più sofisticate, tra cui:

• Evade Detection: Xavier è abbastanza intelligente da fuggire all’analisi, verificando se è in esecuzione in un ambiente controllato (emulatore) e utilizzando la crittografia.
• Esecuzione di codice in modalità remota: il malware è stato progettato per scaricare i codici da un server remoto di controllo (C & C), permettendo agli hacker di eseguire qualsiasi codice dannoso sul dispositivo mirato.
• Info-Stealing Module: Xavier è configurato per rubare ai dispositivi le informazioni relative agli utenti, che comprendono l’indirizzo email, l’ID del dispositivo, modello, versione OS, paese, produttore, operatore di sim card, risoluzione e applicazioni installate.

Secondo i ricercatori, il Malware continua ad evolversi con capacità più sofisticate e mai viste prima.

Il modo più semplice per proteggersi da Xavier è quello di essere sempre attenti ad applicazioni sospette, anche se scaricate dal Play Store ufficiale e cercare di attenersi solo alle marche di fiducia.
Inoltre si consiglia sempre una lettura delle recensioni sotto riportate da altri utenti, oltre che una verifica delle autorizzazioni prima che le si concedano.

Ultimo ma non meno importante, consigliamo di mantenere sempre attivo un buon antivirus in grado di rilevare e bloccare tali malware prima che possano infettare il dispositivo.