Secondo Bitdefender le app scoperte nasconderebbero la propria presenza sul dispositivo rinominandosi e cambiando icona, per poi iniziare a pubblicare annunci aggressivi e scaricare malware.
“Negli ultimi anni, i criminali informatici hanno rafforzato i loro sforzi per inserire le applicazioni dannose su Google Play Store, la fonte di app Android più trafficata al mondo. Sebbene i controlli di sicurezza della piattaforma siano migliorati nel corso degli anni, la nostra ricerca rivela ancora app dannose che utilizzano una vasta gamma di trucchi per aggirare questi controlli.”. Commentano i ricercatori Bitdefender.
“GPS Locations Maps”, una delle app analizzate
Come esempio i ricercatori hanno preso in considerazione l’app “GPS Location Maps” che presentava oltre 100.000 download ma senza nessuna recensione pubblicata. Le caratteristiche di questa app malevola sono state riscontrate anche in altre tra quelle esaminate.
Secondo l’analisi, dopo l’installazione l’app cambia la sua icona da “GPS Location Maps” a quella delle “Impostazioni” e successivamente mostra siti Web aggiuntivi tramite WebViews e annunci pubblicitari (WebViews fa parte del sistema operativo Android che consente alle app di caricare contenuti come pagine Web, annunci e altro).
“Un modo per rimanere nascosto da un utente deciso a disinstallare l’app è cambiare l’icona in qualcosa di innocuo, come l’app “Impostazioni”. Lo fa dichiarando un alias launcher. Dopo aver installato un’altra icona ed etichetta, cambia il programma di avvio principale, sostituendolo con l’alias relativo all’etichetta e icona delle “Impostazioni”“. Si legge nel rapporto.
Inoltre il campione esaminato presentava un offuscamento del codice e file crittografati per rendere difficile il reverse engineering [stringhe offuscate (base64 in XOR) e file DEX crittografati all’interno delle risorse dell’applicazione].
Un’altra tecnica interessante utilizzata dagli sviluppatori per nascondere le app una volta installate è quella, per assicurarsi che non vengano visualizzate nell’elenco delle app utilizzate più di recente su Android, di impostare nel relativo manifest il valore del flag “android:excludeFromRecents” su “true”.
Nelle app sono presenti inoltre anche controlli correlati alla geo-posizione del dispositivo, alla lingua e ad altri fattori, sulla base dei quali vengono scelte le varie attività dannose.
Gli APK malevoli con oltre due milioni di download
gb.packlivewalls.fournatewren 100K+
gb.blindthirty.funkeyfour 100K+
gb.convenientsoftfiftyreal.threeborder 100K+
gb.helectronsoftforty.comlivefour 100K+
gb.fiftysubstantiated.wallsfour 100K+
gb.actualfifty.sevenelegantvideo 100K+
gb.crediblefifty.editconvincingeight 100K+
de.eightylamocenko.editioneight 100K+
gb.convincingmomentumeightyverified.realgamequicksix 100K+
gb.labcamerathirty.mathcamera 100K+
gb.mega.sixtyeffectcameravideo 100K+
gb.theme.twentythreetheme 100k+
gb.tolltwentytwo.ikey 50K+
com.smart.tools.wifi 10K+
jkdf.gds.gds.g 10K+
com.newsoft.camera 100K+
com.xmas.artgirlswallpaperhd 100k+
hj.jk.jikj.jkj 50K+
com.creator.smartqrcreator 10K+
finze.lockgti.dae.cag 500+
kk.f.ea.tew.t 100K+
com.xmas.girlsartwallpaper 10K+
sc.qs.vak 50K+
zzhse.ge.ge.ge.e 100K+
ice.ccylice.volume 50K+
ck.lad.secret 10K+
smart.ggps.lockakt 10K+
am.asm.master 100K+
com.charging.show 100K+
com.voice.sleep.sounds 100K+
joao.de.def.e.aew 10K+
ifa.nod.vys 10K+
qu.motor.astrology 10K+
ice.ccylice.colorize 10K+
gb.sixtycreativecyber.magiceleganttwo 50K+
Alcuni consigli
Sebbene il Play Store sia una delle piattaforme più sicure per scaricare app Android, purtroppo continua ad essere un obiettivo sempre preferito dai cyber criminali, in questo caso con lo scopo ultimo di monetizzare la propria presenza su Google Play tramite annunci pubblicitari propinati alle loro vittime scaricando anche ulteriori malware.
Pertanto è bene non abbassare mai la guardia e seguire sempre le semplici regole di sicurezza suggerite dagli esperti:
- Non installare app che non ti servono davvero
- Ricordati di eliminare le app che non utilizzi più
- Diffida delle app con un numero elevato di download e poche o nessuna recensione
- Diffida delle app che richiedono autorizzazioni speciali, come il disegno sulle app o l’accesso ad Accessibilità
- Fai attenzione alle app che richiedono l’accesso alle autorizzazioni che non hanno nulla a che fare con la funzionalità pubblicizzata
- Eseguire sempre una soluzione di sicurezza in background in grado di rilevare comportamenti dannosi. Solo perché un’app viene scaricata da uno store ufficiale non significa che sia sicura.
