La gente di Symantec ha informato tutti di un nuovo malware Android, chiamando Android.Counterclank "una minaccia simile a un bot che può ricevere comandi per eseguire determinate azioni, nonché rubare informazioni dal dispositivo". Notano che l'avvio di una delle app "infette" con il pacchetto SDK apperhand mostrerà un secondo servizio in esecuzione e spesso posiziona un'icona di ricerca nella schermata principale. Hanno verificato che questo è presente in 13 applicazioni su Android Market e lo definiscono "la più alta distribuzione di malware identificato finora quest'anno". Alcuni rapporti su Internet affermano che potrebbe aver interessato 5 milioni di utenti. Sono 5.000.000 - un numero enorme e spaventoso. E costituisce un ottimo titolo.
Ma sembra che Symantec abbia saltato un po 'la pistola.
Lookout, un concorrente nel campo della sicurezza Android, afferma che le applicazioni non sono malware e che il pacchetto apperhand è in realtà un componente legittimo, ma aggressivo. Fa parte di un kit di sviluppo software pubblicitario che è una versione modificata della piattaforma "ChoopCheec" o SDK "Plankton" che è stata al centro di alcuni problemi di privacy nel giugno 2011. Questa versione più recente è più pulita, ma ha ancora capacità comuni a molti reti pubblicitarie. Scrive Lookout:
- È in grado di identificare l'utente in modo univoco dal suo numero IMEI, ad esempio. A differenza di alcune reti, questo SDK esegue l'hashing dell'IMEI prima di inviarlo al suo server. Stanno identificando il tuo dispositivo, ma stanno offuscando i dati grezzi. (È una buona cosa.)
- L'SDK ha la capacità di fornire all'utente annunci "Push Notification". Non siamo grandi fan delle notifiche push, ma non consideriamo anche la pubblicità delle notifiche push come malware.
- L'SDK rilascia un'icona di ricerca sul desktop. Ancora una volta, consideriamo la cattiva forma, sebbene non la consideriamo una pistola fumante per malware a condizione che il contenuto che viene fornito sia sicuro. In questo caso, è semplicemente un collegamento a un motore di ricerca.
- L'SDK ha anche la capacità di inviare segnalibri al browser. A nostro avviso, questo attraversa una linea; sebbene non crediamo che ciò sia causa di classificazione dell'SDK come malware.
Non siamo sicuri di quanto sia troppo lontano, ma se le applicazioni utilizzano pratiche trovate in "molte" altre reti pubblicitarie, siamo d'accordo con i punti Lookouts elencati qui e dobbiamo chiamare questo come un problema quando si parla di malware. Sul tema della privacy e della condivisione sfrenata dei dati degli utenti, non li adoriamo, ma non si tratta di malware.
Non siamo specialisti della sicurezza e non pretendiamo mai di esserlo. Siamo in grado di separare le applicazioni e vedere cosa si nasconde lì dentro, ma la scansione e l'analisi approfondite è meglio lasciare agli esperti. Detto questo, siamo esperti nel catturare cazzate, e questa ne puzza. A nessuno piacciono gli annunci pubblicitari, ma non possiamo semplicemente chiamarli malware ogni volta che ci piace. Fanno parte del modello di app supportato da pubblicità e dovremmo aspettarci di vedere più di quanto ci piaccia. Quando si comportano male, chiama la testa di qualcuno, ma non prima.
Ma non è sensazionale. Titoli come "La massiccia op di malware per Android di Computerworld potrebbero aver infettato 5 milioni di utenti " causano polemiche e tutti amano una controversia. Spiegare che il segno di 5 milioni deriva dall'aggiunta dell'estremità superiore dei contatori di download, che consente un margine di errore di 4 milioni di dispositivi, viene opportunamente dimenticato. E vorremmo pensare che se fino a 1 milione di dispositivi nella fascia bassa fossero stati infettati, Google e il team di Android Market avrebbero detto qualcosa.
Il lungo e il breve è che stiamo dormendo bene stanotte. Muoviti.
Altro: Symantec; Attenzione
