Android: vulnerabilità ‘Master Key’, scoperto il primo malware

Vi avevo già parlato in questo articolo della possibilità di modificare i codici delle applicazioni per Smartphone senza “rompere” la firma crittografata, vi avevo inoltre consigliato di prestare la massima attenzione riguardo le applicazioni presenti in market di terze parti, ma anche di prestare la massima attenzione su quelle presenti in Google Play.

Cos’è successo in queste due settimane? Almeno 6 applicazioni, ora solo per un’utenza cinese, con codice modificato, sono state trovate nei market di terze parti. Due di queste app, Rose Wedding Cake Game e Pirates Island Mahjong Free, hanno raggiunto un totale di ~ 60.000 download.

Utilizzando la vulnerabilità ‘Master Key’ il cyber-criminale può avere accesso totale da remoto verso il dispositivo mobile, risalire al numero IMEI e al numero utenza, inviare SMS di tipo premium, monitorare i messaggi in ingresso, leggere gli SMS, leggere i contatti presenti nella rubrica.

Quasi tutte le aziende per la sicurezza informatica hanno già aggiornato i loro prodotti con impronte virali in grado di riconoscere la minaccia.