Attenzione allo smartphone che acquistate, alcuni hanno un malware preinstallato
Acquistare un nuovo smartphone non è stata mai una scelta semplice, mille le domande che ci poniamo. Ci domandiamo quali debbano essere le caratteristiche del mobile device utili a soddisfare le nostre esigenze, inizia quindi la nostra estenuante ricerca su marche, modelli e prezzi.
Alle mille domande che ci poniamo però ne dobbiamo aggiungerne una:
lo smartphone che sto acquistando, è infetto?
Sembrerebbe una domanda fuori da ogni logica, ma non per i ricercatori della Check Point Mobile Research Team che hanno trovato due tipi di malware preinstallati su ben 38 modelli di smartphone di fascia alta. Il tipo di scoperta non è nuova, già nel 2015 e nel 2016 i ricercatori della G-Data e della Doctor Web avevano scoperto del malware preinstallato su alcuni modelli di telefoni di fascia medio-bassa.
Secondo la ricerca effettuata dal team della Check Point Mobile Research i malware non sono presenti nella ROM ufficiale del produttore, ma vengono aggiunti successivamente da due aziende multinazionali che la “personalizzano” con app dannose prima che gli smartphone finiscano sugli scaffali di negozi e grandi magazzini. La prima è una compagnia di telecomunicazioni, la seconda è una multinazionale nel campo della tecnologia. Al momento non sono stati resi pubblici i loro nomi.
Di seguito i 38 modelli incriminati
Asus Zenfone 2 (5 devices)
LG G4
Lenovo A850
LenovoS90 (2 devices)
Nexus 5 (2 devices)
Nexus 5X
Oppo N3
OppoR7 plus
Samsung Galaxy A5 (2 devices)
Samsung Galaxy Note 2 (2 devices)
Samsung Galaxy Note 3
Samsung Galaxy Note 4 (3 devices)
Samsung Galaxy Note 5
Samsung Galaxy Note 8
Samsung Galaxy Note Edge
Samsung Galaxy S4 (5 devices)
Samsung Galaxy S7
Samsung Galaxy Tab 2 (2 devices)
Samsung Galaxy Tab S2
Xiaomi Mi 4i
Xiaomi Redmi
ZTE x500
vivo X6 plus
Vediamo nel dettaglio i nomi dei due malware e quali rischi possiamo correre durante l’utilizzo di questi modelli di smartphone:
Loki Adware/Infostealer
E’ in grado di ottenere i privilegi di root e infettare anche Zygote, uno dei processi fondamentali del sistema operativo Android. E’ il “processo padre” per tutte le applicazioni Android, contiene le librerie di sistema ed i framework utilizzati da quasi tutte le app. Una volta che Zygote è stato infettato, il malware diventa parte di qualsiasi app che viene lanciata dal dispositivo.
Slocker Ransomware
E’ in grado di bloccare lo smartphone e di crittografare tutti i dati presenti nel dispositivo mobile, di inviare attraverso server C&C tutti i dati presenti sul proprio dispositivo mobile.
Di seguito le app infettate che le due multinazionali aggiungono nei 38 modelli di smartphone:
air.fyzb3
com.android.deketv
com.android.ys.services
com.androidhelper.sdk
com.armorforandroid.security
com.baycode.mop
com.changba
com.ddev.downloader.v2
com.example.loader
com.example.loader
com.fone.player1
com.google.googlesearch
com.iflytek.ringdiyclient
com.kandian.hdtogoapp
com.kandian.hdtogoapp
com.lu.compass
com.mobogenie.daemon
com.mojang.minecraftpe
com.sds.android.ttpod
com.skymobi.mopoplay.appstore
com.yongfu.wenjianjiaguanli
La disinstallazione delle app infettate purtroppo non è possibile in quanto utilizzano privilegi di sistema. Esistono comunque due soluzioni per cercare di risolvere questo problema, soluzioni a dire il vero non del tutto semplici per utenti comuni
- eseguire il ROOT dello smartphone disinstallando successivamente le app infette
- eseguire il Flash del firmware/ROM
New ► Phishing: sicurezza dei siti con dominio italiano – aggiornato al 26.04.2017
New ► Phishing: sicurezza dei siti con dominio italiano – aggiornato al 13.03.2017
