Un’applicazione di sistema preinstallata sugli smartphone Alcatel conteneva un malware che abbonava il possessore dello smartphone a servizi telefonici a pagamento di tipo premium. Il malware era nascosto all’interno dell’applicazione Meteo, denominata Weather Forecast-World Weather Accurate Radar.
Un’applicazione sviluppata direttamente dalla TCL Corporation, una società di elettronica cinese che possiede marchi come Alcatel, BlackBerry e Palm. L’applicazione è una delle app predefinite che TCL installa sugli smartphone Alcatel, ma la stessa è stata anche resa disponibile sul Play Store per tutti gli utenti Android.
E proprio nello store di Google è stata scaricata e installata più di dieci milioni di volte. Ma ad un certo punto, l’anno scorso, sia l’applicazione installata in alcuni dispositivi Alcatel che quella disponibile sul Play Store è stata compromessa con un malware. Il modo in cui il malware è stato aggiunto non è chiaro.
L’esistenza del malware si è scoperta la scorsa estate, quando Upstream, un’azienda di sicurezza mobile con sede nel Regno Unito, ha scoperto del traffico sospetto proveniente dagli smartphone di alcuni dei suoi clienti. In una relazione pubblicata questa settimana, la società afferma di aver inizialmente rilevato che l’app raccoglieva i dati degli utenti.
Dati come la posizione geografica, indirizzi email e codici IMEI, che venivano inviati in Cina. Lo stesso malware, in alcuni paesi, tentava di registrare degli abbonamenti a danno degli utenti con ingenti addebiti sulle bollette telefoniche degli utenti. Pensate che in Brasile ci sono stati 2.5 milioni di tentativi di transazione avviati da questa applicazione meteo.
In Kuwait sono stati bloccati 78.940 tentativi di transazione avviati da dispositivi Alcatel tra luglio e agosto 2018 oltre che in Nigeria, Sudafrica, Egitto e Tunisia. Nel complesso la società afferma di aver rilevato e bloccato oltre 27 milioni di tentativi di transazione in sette mercati.
L’app meteo, che scorreva sullo sfondo del telefono, ha anche avviato finestre del browser nascoste che caricavano pagine Web con annunci pubblicitari con un traffico giornaliero nascosto che andava da 50 MB a 250 MB di dati al giorno. Gli utenti, dunque, oltre ad aver leso la propria privacy ed il portafoglio, vedevano andare in fumo anche i propri giga.
Secondo Upstream, i principali modelli di smartphone Alcatel sono Pixi 4 e A3 Max. Tuttavia, la società non ha una visione mondiale dei dispositivi infetti e pertanto potrebbero essercene molti altri. Senza considera che ad essere stati infettati dal malware ci sono anche tutti coloro che hanno scaricato l’applicazione dal Play Store.
Google ha rimosso l’app (com.tct.weather) solo dopo che la notizia è venuta fuori. La fonte dell’infezione sembra essere uno sviluppatore di TCL Communication e l’attività sospesa si sarebbe interrotta dopo che il Wall Street Journal ha iniziato a parlare del problema contattando la stessa TCL. Le indagini sono in corso.