G DATA ha scoperto uno smartphone cinese, l’N9500, venduto con malware pre-installato nel firmware. Si tratta di un fatto decisamente nuovo e preoccupante.
Il malware è mascherato dal momento che Google Play Store è parte delle app pre-installate. Lo spyware funziona in background e non può essere scoperto dagli utenti. All’insaputa degli utenti lo smartphone invia dati personali a un server situato in Cina ed è in grado di installare di nascosto nuove applicazioni. Questo rende possibile rubare dati personali, intercettare chiamate e dati per l’online banking, leggere email e messaggi di testo o controllare da remoto la videocamera e il microfono.
Il modello in questione è l’”N9500” prodotto dall’azienda cinese Star ed è molto simile a un noto smartphone prodotto da una famosa azienda. Non possibile rimuove l’app e lo spyware perché sono integrati nel firmware. Molti rivenditori online stanno ancora vendendo questo smartphone a un prezzo variabile tra i 130 e i 165 euro in tutta Europa.
“Le opzioni di utilizzo di questo programma spia sono praticamente illimitate. I criminali online hanno un accesso totale allo smartphone”, ha dichirato Christian Geschkat, Product Manager Mobile Solutions di G DATA. “I clienti di G DATA ci hanno riportato la segnalazione effettuata dai nostri software per la sicurezza informatica per Android e questo fatto ha evidenziato tale strategia criminale”.
Dopo aver ricevuto diverse segnalazioni dai propri clienti gli esperti di sicurezza di G DATA hanno acquistato lo smartphone e lo hanno analizzato a fondo scoprendo che il firmware contiene il Trojan Android.Trojan.Uupay.D mascherato nel Google Play Store. Questa funzione spia è invisibile agli utenti è ha un accesso totale allo smartphone e a tutti i dati personali. I log che potrebbero rendere un accesso visibile agli utenti vengono immediatamente cancellati. Il programma inoltre blocca anche l’installazione di aggiornamenti per la sicurezza.
“L’unica cosa che gli utenti possono vedere è un’app con l’icona del Google Play Store nei processi attivi; oltre a ciò l’applicazione è completamente nascosta”, precisa Christian Geschkat. “Sfortunatamente non è possibile rimuovere il Trojan perché fa parte del firmware dello smartphone è le app che rientrano in tale categoria non possono essere eliminate.. Questo include anche l’app Google play Store dell’N9500.”
Gli utenti possono usare G DATA Internet Security oper Android, che identifica il malware come Android.Trojan.Uupay.D per scoprire se è presente sul proprio device. Gli esperti inoltre raccomandano agli utenti degli smartphone con questo problema di contattare immediatamente i rispettivi negozi online per chiedere la restituzione dello smartphone.
Il programma spia consente ai criminali di installare segretamente delle applicazioni che consentono un ampio ventaglio di abusi possibili: localizzazione, intercettazione e registrazione , acquisti, frodi bancarie, invio di SMS premium. È impossibile scoprire dove i dati vengono inviati. “I dati intercettati sono inviati a un server anonimo situato in Cina”, precisa Christian Geschkat. “Non è possibile al momento scoprire chi riceve e come utilizza questi dati.”