Alcatel, malware preinstallati in alcuni smartphone
Una società di sicurezza informatica ha ravvisato un traffico sospetto di dati tra i dispositivi e i server del produttore cinese, scoprendo così il malware
Brutta tegola su Alcatel, il brand di smartphone prodotti dalla cinese TCL Corporation: su due modelli di cellulari è stato trovato, preinstallato di fabbrica, un malware. I due modelli in questione sono l’entry level Pixi 4 e l’A3 Max di fascia media, ma non è escluso che anche altri smartphone dell’azienda possano essere stati interessati a questa gravissima vulnerabilità
Il malware è nascosto in una app meteo che, tra le altre cose, all’insaputa dell’utente sottoscriveva abbonamenti a servizi telefonici a pagamento. Lo stesso malware, inoltre, ha trasmesso dati sensibili dell’utente ad un server cinese di TCL. L’app in questione si chiama Weather Forecast-World Weather Accurate Radar, è una app ufficiale di TCL che è stata usata da più di dieci milioni di utenti ed è stata adesso rimossa da Google dal Play Store e da TCL dagli smartphone.
Come sono stati scoperti i malware negli smartphone Alcatel
L’infezione è stata rilevata la scorsa estate quando Upstream, azienda che sviluppa soluzioni software per operatori telefonici mobili, ha scoperto traffico sospetto proveniente dagli smartphone di alcuni suoi clienti. Da una prima analisi è emerso subito che l’app del meteo preinstallata sugli smartphone stava raccogliendo e inviando al server di TCL dati come le posizioni geografiche, gli indirizzi email e i codici IMEI. Solo in alcune parti del mondo, inoltre, questa app tentava di abbonare gli utenti a servizi a pagamento. Tra luglio e agosto 2018 sono stati rilevati oltre 400 mila tentativi di abbonamento in Brasile e 78 mila in Kuwait. Altri tentativi, ma in numero minore, sono stati rilevati e bloccati da Upstream in Nigeria, Sudafrica, Egitto e Tunisia. La società afferma di aver rilevato e bloccato oltre 27 milioni di tentativi di transazione in sette mercati, che avrebbero generato perdite di circa 1,5 milioni di dollari ai proprietari di telefoni se non fossero state bloccate.
Cosa facevano i malware degli Alcatel
Lo stesso codice malevolo eseguiva anche altre operazioni, come aprire sullo sfondo del browser del telefono delle finestre nascoste che caricavano pagine web e cliccavano sugli annunci. Ciò ha portato ad un notevole consumo di traffico dati ai danni degli utenti: tra 50 e 250 MB di dati prosciugati dall’app infetta ogni giorno.
TCL non commenta la notizia e non è affatto chiaro come sia possibile che un malware sia riuscito a intrufolarsi nel codice di una app ufficiale di un costruttore di smartphone, né come sia possibile che TCL non se ne sia accorta da sola. Una ipotesi è che a infettare l’applicazione sia stato un dipendente infedele di TCL: il codice malevolo era presente sia nell’app preinstallata nei cellulari che in quella disponibile a tutti su Play Store. Inoltre, l’infezione è misteriosamente cessata quando il Wall Street Journal ha saputo la notizia da Upstream e ne ha chiesto conto a TCL e a Google.
