Skip to Main Content

RottenSys: il malware preinstallato in alcuni smartphone

Questa è probabilmente l’unica funzionalità per smartphone che non vorreste mai avere: i ricercatori hanno scovato una marea di telefoni sul mercato con il malware RottenSys preinstallato, senza che i nuovi proprietari abbiano dovuto scorrere il dito sullo schermo una sola volta.

Si pensa che quasi 5 milioni di telefoni siano coinvolti in questo piano. Tra i marchi danneggiati figurano GIONEE, Honor, Huawei, OPPO, Samsung, Vivo e Xiaomi. Se da un lato sembra che tutti i telefoni infetti provengano da Tian Pai, un distributore cinese con sede a Hangzhou, dall’altro non è ancora stato scoperto il collegamento preciso.

Sebbene il malware sia stato chiamato RottenSys, gli utenti che ne sono vittima lo visualizzano come una più innocua app “System Wi-Fi service” preinstallata sul telefono.

RottenSys arriva in silenzio

RottenSys non si avvia come un software dannoso, così non fa scattare alcun allarme. Al contrario, comunica con i server di comando e controllo per ottenere in primo luogo una “lista della spesa” e solo allora riceve il codice dannoso.

Questo particolare batch di codice si trasforma in una campagna di adware che visualizza sul dispositivo della vittima una raffica di annunci a schermo intero o sotto forma di pop up, che gonfia i portafogli dei pirati informatici.

Poi alza il volume al massimo

Questo è solo l’inizio. I ricercatori di Check Point ritengono che il malware possa mutare in base ai segnali ricevuti dai sovraccarichi dei suoi server di comando e controllo. Inoltre, prevedono che entrerà a far parte di una botnet più vasta, che potrebbe distribuire altre app e modificare l’interfaccia utente della vittima.

RottenSys riflette l’attuale tendenza del mercato in fatto di malware, in base alla quale i pirati informatici non prelevano il denaro direttamente dal vostro portafoglio, come nel caso dei ransomware, ma vi costringono a guardare annunci irritanti e poi si fanno pagare dagli inserzionisti per il loro duro lavoro. Nessuno sta dicendo se questi annunci sono davvero “di alto valore”.

I software sono fatti come le auto, quindi guidate con prudenza

RottenSys non è altro che l’espressione di una vulnerabilità della catena di fornitura dell’industria dei software. Proprio come nel caso delle auto, diverse aziende producono le imbottiture in gommapiuma, i tessuti e i telai in acciaio, poi un’altra mette insieme tutti questi componenti per creare un sedile e lo spedisce allo stabilimento che si occupa dell’assemblaggio finale, dove arriva circa 45 minuti prima di essere installato nella giusta posizione. Le case automobilistiche osservano l’intera catena di fornitura molto da vicino, e a giudicare da RottenSys anche nel settore IT si dovrebbe fare lo stesso.

Cosa fare per rimanere al sicuro

Ma c’è un lato positivo. Infatti, i prerequisiti necessari affinché il malware sia presente sul vostro dispositivo indicano che la maggior parte dei telefoni infetti si trova in Cina, quindi se non avete acquistato lì il vostro telefono dovreste essere al sicuro. Tuttavia, per esserne assolutamente certi potete fare così:

accedete alle impostazioni di sistema di Android e, da lì, alla gestione delle app. Qui cercate i possibili nomi dei pacchetti malware in questione, ossia:

  • com.android.yellowcalendarz (每日黄历)
  • com.changmi.launcher (畅米桌面)
  • com.android.services.securewifi (系统WIFI服务)
  • com.system.service.zdsgt

Se nell’elenco delle app installate compare una qualsiasi delle app appena elencate, vi basterà disinstallarla per essere al sicuro.

Questo articolo è disponibile anche in: IngleseFrancese

Il principio su cui si basa Avira è quello di costruire le migliori tecnologie di sicurezza al mondo cosicché i clienti possano utilizzare Internet senza paura. Nel perseguimento di questa missione, Avira offre oggi una serie completa di applicazioni di sicurezza completamente gratuite per Windows, Mac, iOS e Android.