Check Point scopre RottenSys, malware preinstallato su 5 milioni di dispositivi Android

La società traccia un identikit della minaccia e indica quali pacchetti Android sono collegabili all'azione del malware.

Check Point comunica di aver scoperto un malware installato su qualcosa come 5 milioni di dispositivi Android a livello mondiale.
Il componente malevolo si chiama RottenSys e la sua principale peculiarità è che esso risulta installato “di fabbrica” all’acquisto del dispositivo mobile.

Come spiega Check Point nella sua analisi tecnica, tra i dispositivi più colpiti vi sarebbero quelli di Huawei, Honor e Xiaomi.
La società specializzata nella progettazione e nella commercializzazione di soluzioni per la sicurezza informatica ipotizza che gli smartphone infetti sin dal momento dell’acquisto siano terminali con una ROM modificata durante la catena di distribuzione.


Qualcuno, insomma, prima che il terminale raggiungesse il cliente finale deve aver modificato l’immagine ufficiale aggiungendovi il malware.

RottenSys raccoglie informazioni sulle operazioni effettuate dall’utente e visualizza periodicamente messaggi pubblicitari non richiesti. Il malware veniva inizialmente sfruttato solo per esporre pubblicità sullo smartphone (continua a farlo anche oggi tanto che Check Point ha stimato come ogni giorno gli sviluppatori di RottenSys guadagnino circa 100.000 euro) ma con il tempo è diventato uno strumento che permette ai criminali informatici di assumere il controllo dello smartphone da remoto e installare applicazioni all’insaputa del legittimo proprietario.

RottenSys è un malware che non viene rilevato con facilità: esso appare infatti, almeno a una prima analisi, come un innocuo servizio di sistema collegato alla gestione del modulo WiFi. La realtà è invece ben diversa è il riferimento al WiFi è soltanto fumo negli occhi (ulteriori informazioni sono state pubblicate anche dal CERT Nazionale).

Come verificare la presenza di RottenSys

La presenza del malware sui dispositivi Android è suggerita dal caricamento, da parte del sistema operativo, di uno dei seguenti pacchetti:

com.android.yellowcalendarz
com.changmi.launcher
com.android.services.securewifi
com.system.service.zdsgt

Per ottenere l’elenco dei pacchetti Android installati, si può collegare il dispositivo mobile al PC via cavo USB e usare la procedura illustrata nell’articolo Come disinstallare app di sistema su Android senza root.
Il comando adb shell pm list packages > app.txt && notepad app.txt consentirà di ottenere la lista completa delle applicazioni presenti sul dispositivo.
All’apertura del Blocco Note di Windows, si potranno cercare con il comando Modifica, Trova eventuali riferimenti ai pacchetti malevoli sopra citati.

Ti consigliamo anche

Link copiato negli appunti