I ricercatori di Check Point, gli stessi che avevano individuato il virus che ha afflitto i sistemi operativi Windows qualche settimana fa, hanno individuato il malware "Judy" in più di 50 applicazioni disponibili nello store Google: Google Play. Le applicazioni contaminate contengono un codice che infetta il sistema operativo e reindirizza l'utente verso una pagina internet "target" dove l'utilizzatore dello smartphone è costretto a cliccare su banner pubblicitari. Questo consente agli hacker di guadagnare, in maniera fraudolenta, commissioni pubblicitarie.
Le app incriminate create in Corea
Le app incriminate sono state subito rimosse dal Play Store. La maggior parte di queste sono state create in Corea da Kiniwini, una società che produce giochi per device mobili sotto il nome di Enistudio. Questi giochi hanno tutti un comune denominatore: in ognuno di essi è presente un personaggio chiamato Judy, da qui il nome di "battesimo" del malware. Le app dell'azienda sono state scaricate tra i 4 e i 18 milioni di volte.
Android: Judy il malware che induce a cliccare sui banner
Il codice dannoso è stato trovato anche in numerose altre app. Gli esperti di Check Point affermano che probabilmente frammenti di codice possono essere stati copia-incollati in centinaia di app.
I device "vittime" sfiorano 40 milioni. Tutte le applicazioni incriminate risultano aggiornate a marzo di quest'anno ed è probabile che il codice dannoso fosse già presente all'interno di queste, ma non ancora rilevato dai sistemi di sicurezza Android. Il che rende ancora più difficile capire quanti utenti siano effettivamente incappati in Judy e a quanto ammonti il giro d'affari generato dai click involontari e inconsapevoli.
Il trucco per frodare il sistema di sicurezza Android
Le applicazioni che non sono state subito rilevate come dannose da Google sono quelle che effettivamente non contenevano codice "malvagio". Il trucco per frodare il sistema di protezione Android consisteva nel non inserire direttamente Judy all'interno del codice della applicazione, ma reindirizzando il browser del telefono ad un sito internet, sempre diverso giorno per giorno, che registrava il device target su di un server affinché fosse direttamente il server ad obbligare l'utente a visionare pagine e pagine di advertising.
Andrew Smith, esperto di networking intervistato dalla BBC, ha affermato che questa pratica è largamente diffusa: "Esistono molti strumenti che vengono utilizzati dai distributori di malware per cambiare e riconfigurare a distanza il sito di destinazione. Sito che può essere modificato a distanza e così frequentemente da rendere impossibile o comunque molto difficile il lavoro degli antivirus".