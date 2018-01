Luca Colantuoni,

I ricercatori di Check Point hanno scoperto un nuovo malware sul Google Play Store. Questa volta il codice infetto è stato nascosto in circa 60 giochi per Android, scaricati tra 3 e 7 milioni di volte. Il malware, denominato AdultSwine, esegue tre principali operazioni nefaste, una delle quali mostra banner a contenuto pornografico. Google ha immediatamente rimosso i giochi in questione dallo store, considerato che gli utenti sono soprattutto bambini.

Gli esperti di Check Point hanno analizzato il codice di AdultSwine, scoprendo che il malware può visualizzare inserzioni pubblicitarie XXX, ingannare l’utente consigliando di scaricare un falso antivirus e convincerlo a sottoscrivere servizi premium. Queste attività entrano in funzione quando si avvia o sblocca lo smartphone Android. Il codice può essere aggiornato per ampliare le funzionalità, come il furto delle credenziali di accesso ai servizi online. Quando il gioco viene avviato, il malware contatta un server C&C dal quale riceve un file di configurazione, quindi verifica lo stato del dispositivo e quale app è attualmente in esecuzione.

Se le condizioni sono soddisfate, AdultSwine inizia a mostrare banner pubblicitari con contenuti inappropriati, tra cui immagini pornografiche. Per non destare sospetti, le inserzioni non vengono visualizzate quando sono in esecuzione alcune tipologie di app, come browser o social network. Alcuni banner avvisano l’utente che lo smartphone è stato infettato da un virus. In realtà, il virus viene installato se l’utente scarica il falso antivirus toccando il pulsante inserito nel banner.

AdultSwine può infine mostrare un pop-up, con il quale tenta di convincere l’utente a rispondere ad alcune domande per vincere un iPhone. Se viene incautamente inserito il numero di telefono, il malware effettua la registrazione a servizi premium che causeranno una rapida diminuzione del credito. Google ha cancellato tutti i giochi dal Play Store e disattivato l’account degli sviluppatori.