I ricercatori di Dr. Web hanno fatto presente che nel corso del mese di giugno gli attacchi nei confronti degli utenti possessori di un dispositivo Android sono cresciuti a dismisura.
Nella sua analisi Dr. Web spiega che sono state scoperte ben 30 varianti del trojan HiddenAds, nascosto all’interno di app Android pubblicate nel Google Play Store che sono state complessivamente scaricate e installate oltre 10 milioni di volte.
Tra le applicazioni contenenti il codice malevolo ci sono app Android che facilitano l’editing delle immagini, tastiere virtuali, utilità e strumenti di sistema, applicazioni per la gestione delle chiamate e degli sfondi.
Il fatto è che queste applicazioni, “farcite” con il codice dannoso di HiddenAds, non soltanto propongono continuamente inserzioni pubblicitarie durante l’utilizzo del dispositivo Android ma integrano pericolose routine in grado di sottrarre le credenziali di accesso dell’utente, ad esempio quelle utilizzate per autenticarsi su Facebook.
Per visualizzare gli annunci alcune app chiedono il permesso di mostrare informazioni sopra ad altre app: si tratta di uno dei permessi di tipo amministrativo che è possibile accordare alle app Android installate e che non dovrebbe essere mai accordato, se non in casi eccezionali.
La possibilità di “disegnare” sopra ad altre app può infatti aprire le porte a un ampio ventaglio di attacchi: i trojan bancari sviluppati per Android sono infatti in grado di rilevare quando viene avviata un’app per la gestione di conti correnti e portafogli digitali. Usando il permesso avanzato in questione, le app Android malevole possono modificare la schermata di autenticazione mostrata dalle app legittime e raccogliere i dati di login della vittima.
Con l’obiettivo di rimanere sempre in esecuzione, inoltre, Dr. Web spiega che le app contenenti i malware della famiglia HiddenAds chiedono inoltre di essere aggiunte alla lista delle eccezioni per non essere chiuse dal sistema di ottimizzazione della batteria.
È quindi sempre bene porsi delle domande ed evitare di assegnare permessi ampi ad applicazioni realizzate da sviluppatori sconosciuti: potrebbero essere utilizzate per sferrare attacchi e porre in essere furti d’identità come nel caso di specie.
In un altro articolo abbiamo visto come scoprire quali app usano permessi Android pericolosi.
Molte app sostituiscono inoltre le loro icone con altre meno evidenti in modo da rendere più difficoltosa una successiva individuazione tra le app presenti nel telefono. Dr. Web ha rilevato che in alcuni casi vengono usati nomi come SIM Toolkit per nascondere l’app malevola mascherandola da applicazione di sistema. Con un espediente, inoltre, quando l’utente tocca SIM Toolkit nella lista delle app Android installate viene avviata un’omonima app di sistema per gestire le schede SIM, invece dell’app originale.
Google ha eliminato dal Play Store la maggior parte delle applicazioni contenenti codice malevolo segnalate da Dr. Web. Alcune, però, continuano a essere pubblicate nonostante le lamentele e il “pollice verso” degli utenti: certamente saranno rimosse a breve ma è importante controllare nell’elenco condiviso da Dr. Web e pubblicato al paragrafo Threats on Google Play che non si utilizzi nessuna delle app “incriminate”.
Dovrebbe essere inutile dire, poi, che installare tastiere virtuali Android realizzate da sviluppatori sconosciuti è intrinsecamente molto pericoloso per via della continua azione di monitoraggio e sottrazione dei dati che potrebbero svolgere tali componenti. Lo stesso dicasi per le app Android che promettono l’ottimizzazione dei contatti, dei messaggi e delle chiamate telefoniche.