Google sta intensificando gli sforzi volti al rilevamento e alla rimozione delle app malevoli dal Play Store. Com’è noto, l’azienda di Mountain View impiega lato server meccanismi automatizzati che aiutano a rilevare applicazioni potenzialmente nocive mentre sui dispositivi degli utenti viene installato Play Protect, modulo costantemente in esecuzione che verifica le app installate e blocca quelle che dovessero manifestare comportamenti pericolosi: Google Play Protect evolve: abilitato di default su tutti i dispositivi Android.
Più di recente Google si è alleata con ESET, Lookout e Zimperium formando la App Defense Alliance: l’obiettivo è quello di integrare i motori di scansione dei vari produttori antimalware in Play Protect così da rendere più solida la linea di difesa installata sui dispositivi client degli utenti.
Il titolo di un intervento appena pubblicato dagli esperti di Check Point è tuttavia eloquente: “Google Play Store è sicuro? Non ancora“.
Check Point inizia col ricordare che milioni di utenti hanno inavvertitamente scaricato migliaia di app dannose dallo store di Google: esse hanno compromesso i loro dati, tra cui SMS, credenziali, foto, calendari, appuntamenti ed email. A marzo 2019, ad esempio, l’adware SimBad è stato trovato in oltre 200 app pubblicate nel Play Store: sommando il numero dei download si arriva alla spaventosa cifra di circa 150 milioni.
Dalla costituzione dell’alleanza che abbiamo menzionato in precedenza, sempre secondo i tecnici di Check Point sarebbero state effettuate oltre 5,2 milioni di installazioni di app dannose, collegate con decine di campagne ascrivibili a quattro diversi tipi di malware.
Le minacce di cui parla Check Point integrano una serie di “abilità”: possono rubare le informazioni memorizzate nel dispositivo mobile e assumerne il controllo facendo apparire pubblicità o sovrapponendo schermate allo scopo di sferrare efficaci attacchi phishing.
Le app “incriminate”, spiega ancora la nota società specializzata in prodotti e soluzioni relativi alla sicurezza informatica, usano inoltre una vasta gamma di tecniche per evitare il rilevamento da parte di Google e delle società partner tra le quali l’offuscamento del codice e il download a posteriori dei payload dannosi.
L’ultima novità individuata dai ricercatori di Check Point è documentata in quest’analisi: viene presentata la famiglia di malware chiamata Haken che è stata già installata su oltre 50.000 dispositivi Android.
Arriva sui dispositivi degli utenti finali installando 8 diverse applicazioni dannose mascherate da utilità per la fotocamera e giochi per bambini, a una prima occhiata del tutto innocui.
Tutte le applicazioni dannose sono state immediatamente rimosse dal team di Google dopo le segnalazioni trasmesse da Check Point (l’elenco completo è disponibile in questo articolo in corrispondenza del paragrafo Appendix 1 – Haken Clicker IOC’s).
Il malware Haken è classificato come “clicker” per la sua capacità di prendere il controllo del dispositivo dell’utente e di simulare “tocchi” su qualsiasi elemento presente sullo schermo.
Check Point sottolinea che il malware può accedere a qualsiasi tipo di dati: tutto ciò che è visibile sullo schermo è un potenziale bersaglio (ad esempio il contenuto delle email di lavoro) così come qualsiasi altro dato memorizzato localmente (si pensi alle conversazioni private e ai messaggi confidenziali conservati in un’app di messaggistica).
L’impatto di queste minacce è duplice: il malware può attivare servizi premium in abbonamento senza che l’utente se ne renda conto ma può anche contemporaneamente estrarre dati sensibili direttamente dal dispositivo per trasmetterli altrove, consentendone il riutilizzo per le finalità più disparate.
Ecco perché nel nostro articolo Antivirus Android: no, non è affatto inutile abbiamo spiegato come in alcuni casi l’installazione di una valida soluzione antimalware sui dispositivi Android sia tutt’altro che inutile.