Malware Keenadu su Android: frode pubblicitaria e furto dati

Gli esperti di cybersecurity hanno individuato una diffusione su larga scala del malware Keenadu su nuovi dispositivi Android. Secondo Kaspersky Lab, l'infezione è stata riscontrata su circa 13.000 smartphone, con il maggior numero di casi in Russia. Incidenti sono stati registrati anche in Giappone, Germania, Brasile e Paesi Bassi.

Questa minaccia si distingue perché alcuni dispositivi sono stati infettati prima ancora di raggiungere gli acquirenti, durante la fase della catena di approvvigionamento. Gli analisti ritengono che il malware si sia infiltrato nel firmware durante la preparazione dei dispositivi, mascherandosi come componenti di sistema. Lo scopo principale di Keenadu è la frode pubblicitaria. Gli smartphone infetti vengono utilizzati come bot per generare automaticamente clic sui link pubblicitari. Gli esperti affermano che tali schemi generano entrate multimilionarie per i criminali.

In pratica, si tratta di un'attività criminale altamente redditizia, dove reti bot più ampie portano a maggiori guadagni. Yulia Lipatnikova, business partner in cybersecurity presso Cloud.ru, ha sottolineato che i profitti di una singola campagna possono raggiungere milioni di dollari, coprendo facilmente i costi per l'impostazione dello schema.

Le funzionalità di Keenadu non si limitano alla pubblicità. In alcune varianti, il virus consente il controllo completo del dispositivo, permettendo l'installazione di app di terze parti, l'infezione di altri programmi e il furto di dati personali. A rischio sono foto, video, messaggi, informazioni bancarie e dati di localizzazione. Inoltre, il malware può tracciare le ricerche effettuate in Google Chrome, anche in modalità di navigazione in incognito.

Gli esperti hanno anche osservato comportamenti insoliti del virus. Keenadu non si attiva se il dispositivo è impostato su un fuso orario cinese, utilizza un dialetto della lingua cinese o non dispone dei servizi Google. Oltre alle infezioni nella catena di approvvigionamento, il malware si è diffuso attraverso le app. In precedenza, app per la fotocamera infette sono state trovate nello store ufficiale Google Play, con oltre 300.000 download complessivi. Queste app sono state rimosse, ma gli utenti potrebbero non essersi accorti che avviarle apriva schede del browser nascoste per interagire con elementi pubblicitari.

Nel complesso, questo incidente evidenzia i rischi di affidarsi esclusivamente ai controlli degli app store. Nikolai Anisenya, responsabile dello sviluppo presso PT MAZE Positive Technologies, ha fatto notare che anche fonti ufficiali possono essere utilizzate per distribuire malware, inclusi cloni dannosi di app legittime.