Xavier, malware che ha infettato 800 app Android

Xavier era in grado di rubare le informazioni di un utente ed eseguire codice malevolo da remoto senza farsi notare.

Scritto da

Simone Ziggiotto

il

I ricercatori di Trend Micro hanno scoperto un nuovo virus trojan sviluppato per infettare i dispositivi Android – è stato ribattezzato Xavier ed è in grado di rubare e far perdere le informazioni di un utente senza farsi notare. Secondo gli esperti, l’impatto di Xavier è stato diffuso molto e, sulla base dei dati raccolti dal servizio Trend Micro Mobile App Reputation Service, sono state rilevate come infette oltre 800 applicazioni che sono state scaricate milioni di volte da Google Play. Queste applicazioni comprendono app di vario genere, da quelle di utilità a quelle per la modifica di foto.

Trend Micro ha rilevato un maggior numero di tentativi di download di app con Xavier dai paesi del Sud-Est asiatico, come il Vietnam, le Filippine e l’Indonesia, con pochi download dagli Stati Uniti e dall’Europa.

Trend Micro ha condiviso nel suo blog la pericolosità di Xavier, che una volta installato sul dispositivo era in grado di scaricare sul device del codice pericoloso da un server remoto per eseguirlo senza che l’utente se ne accorgesse. In secondo luogo, il malware era in grado di proteggere se stesso dai sistemi di sicurezza come la crittografia dei dati.

"Le capacità di rubare e cancellare dati di Xavier sono difficili da individuare a causa di un meccanismo di autoprotezione che gli consente di sfuggire all’analisi statica e dinamica" si legge nel blog di Trend Micro. "Inoltre, Xavier ha anche la possibilità di scaricare ed eseguire altri codici dannosi, che potrebbero essere un aspetto ancora più pericoloso del malware. Il comportamento di Xavier dipende dai codici scaricati e dall’URL dei codici configurati dal server remoto".

Xavier è stato etichettato come un membro della famiglia AdDown, che esiste da oltre due anni. La prima versione, chiamata joymobile, è apparsa all’inizio del 2015. Questa variante era già in grado di eseguire codice malevolo da un server remoto. Oltre a raccogliere e cancellare informazioni degli utenti, Xavier è in grado di installare altre app (APK) e può farlo in silenzio se sul dispositivo è stato eseguito il root.

Secondo Trend Micro, che QUI ha dettagliato tecnicamente come funziona Xavier, il modo più semplice per evitare un malware dannoso come Xavier è non scaricare e installare applicazioni da una fonte sconosciuta, anche se provengono da App Store conosciuti come Google Play. Inoltre, può aiutare leggere eventuali recensioni da altri utenti che hanno scaricato l’applicazione: "Altri utenti possono essere una grande fonte, soprattutto se possono indicare se un’applicazione specifica mostra comportamenti sospetti" spiegano gli esperti, secondo cui "l’aggiornamento e la patch per i dispositivi mobili contribuiranno inoltre a fermare malware che mirano a sfruttare le vulnerabilità".

Xavier era pericoloso perchè riusciva ad eludere i controlli di sicurezza che Google applica nel momento in cui va a verificare se un’app puo’ essere inserita oppure no nel suo Play Store.

E’ importante precisare che le app che sono state trovate contenere il malware Xavier sono state rimosse dal Play Store.

Impostazioni privacy