Sono circa 5 milioni gli smartphone Android cinesi e commercializzati nel mondo infettati da un ceppo di malware denominato RottenSys.
Nella sua forma attuale, RottenSys viene utilizzato per visualizzare in modo aggressivo annunci pubblicitari sui dispositivi infetti, ma i ricercatori dell’azienda di sicurezza Check Point hanno trovato prove che i truffatori stanno implementando un nuovo modulo Lua per la raccolta di tutti i dispositivi infetti in una botnet gigante.
“Questa botnet avrà funzionalità estese, tra cui l’installazione silenziosa di app aggiuntive e l’automazione dell’interfaccia utente”, secondo i ricercatori che temeno qualcosa di più invadente e dannoso per l’utente, piuttosto che visualizzare solo annunci.
Intanto RottenSys è attivo dal 2016, ma non era stato mai cosi così pericoloso. Apparso per la prima volta nel settembre 2016 i criminali hanno trascorso la maggior parte del loro tempo a diffonderlo su nuovi dispositivi.
Lentamente ma inesorabilmente, il numero delle vittime di RottenSys è cresciuto da alcuni mesi a questa parte e, secondo Check Point, il malware ora si trova su circa 4.964.460 dispositivi. Il componente botnet pericoloso che controlla tutti i dispositivi è stato aggiunto solo il mese scorso, a febbraio 2018, e per la maggior parte degli ultimi due anni, l’equipaggio di RottenSys si è concentrato sulla pubblicazione degli annunci. Il malware è attualmente attivo solo sul mercato cinese, è raggruppato in app cinesi e infetta principalmente telefoni popolari sul mercato locale, come Huawei (oltre 1 milione di dispositivi), Xiaomi (quasi mezzo milione di dispositivi), OPPO, vivo, LeEco, Coolpad e GIONEE. RottenSys si presenta come un servizio Wi-Fi, ma In realtà al momento dell’installazione richiede una serie di permessi che gli consentono di ottenere un’enorme libertà d’azione, compresa la possibilità di scaricare ulteriore codice. Stando alla ricostruzione degli esperti, ora i cyber-criminali che controllano i server C&C collegati al trojan starebbero avviando la distribuzione di un nuovo modulo che, una volta installato sui dispositivi infetti, gli permetterebbe di usarli per qualsiasi tipo di attacco. Negli ultimi anni i dispositivi mobili sono diventati un obiettivo primario per i pirati informatici e le botnet di questo tipo vengono utilizzate spesso anche per portare attacchi DDoS. Con numeri di questo tipo, potrebbero rappresentare un problema per chiunque.
