Check Point Research lancia un allarme sicurezza. E nel mirino c’è Google Play, il grande contenitore di app di Big G. Il team di Threat Intelligence di Check Point Software Technologies, ha infatto individuato due criticità, entrambe caratterizzate da un comune denominatore: in entrambi i casi gli hacker hanno scelto le librerie di terze parti o i componenti open source che compongono un’applicazione per fornire malware agli ignari utenti delle app.
Recentemente Check Point Software Technologies ha individuato una massiccia campagna di adware per dispositivi mobili che ha già generato quasi 150 milioni di download di 206 app infette presenti sul Google Play Store.
Soprannominata “SimBad” – dato che la maggior parte delle app infette sono giochi di simulazione – questa campagna adware è in grado di rendere fastidioso l’uso del telefonino. L’utente, infatti, riceve numerosi annunci pubblicitari al di fuori dell’applicazione ed è impossibilitato a disinstallare le app incriminanti. Tutte le app infette utilizzano un SDK (Software Development Kit) malevolo per eseguire le loro operazioni. Sebbene siano disponibili altri SDK per la monetizzazione delle app, gli sviluppatori di giochi hanno scelto di utilizzare un SDK a loro vantaggio, visualizzando un numero molto più elevato di annunci per aumentare i loro profitti.
Come si comportano le app malevoli
C’è una sorta di comune denominatore anche nel comportamento delle app malevoli, una volta che questa sono state scaricate sul telefonino:
1. Mostrano annunci al di fuori dell’applicazione, ad esempio quando l’utente sblocca il proprio telefono o utilizza altre app;
2. aprono costantemente Google Play o 9Apps Store e reindirizzano a un’altra particolare applicazione, in modo che lo sviluppatore possa trarre vantaggio da installazioni aggiuntive;
3. nascondono la relativa icona dal programma di avvio per impedire la disinstallazione;
4. aprono un browser Web con collegamenti forniti dallo sviluppatore dell’app;
5. eseguono il download di file APK (Android Package) e richiedono all’utente di installarli;
6. ricercano una parola fornita dall’app in Google Play.
Per maggiori informazioni relativa a SimBad e per conoscere la lista delle applicazioni infette, è possibile visitare il link messo a disposizione da Checkpoint.
Malware all’interno di SDK di monetizzazione
Un’altra recente scoperta realizzata dal team di ricerca di Check Point Software Technologies riguarda un gruppo di applicazioni Android che nascondono malware all’interno del SDK di monetizzazione, denominato SWAnalytics, che è stato inserito in applicazioni Android apparentemente innocue e pubblicate nei principali app store cinesi di terze parti. Una volta installata l’app, SWAnalytics segnala alle vittime l’apertura di un’applicazione infetta o riavvia i loro telefoni, appropriandosi in modo silenzioso dell’elenco dei contatti che vengono inviati a un server remoto.
Check Point Software Technologies rileva che al momento le applicazioni infette sono 12, la maggior parte delle quali sono app di utilità di sistema, e che sono già state scaricate ben 111 milioni di volte. Questo significa che il malintenzionato potrebbe aver già raccolto i contatti e i numeri di un terzo dell’intera popolazione cinese!
Tali dati potrebbero essere già presenti nei mercati del “dark web” per ulteriori exploit, come casi di marketing illecito, truffe telefoniche mirate o abuso di programmi di referral.