Facciamo attenzione a queste App

Attraverso sei applicazioni, lo spyware è riuscito a diffondersi in 196 paesi diversi.

Uno spyware Android chiamato MobSTSPY è riuscito a diffondersi a livello globale e capillare, principalmente tramite Google Play.

Il malware si maschera come un’applicazione “regolare” tipo semplice torcia, giochi e strumenti di produttività lavorativa. Anche se non è raro imbattersi in app store di terze parti, MobSTSPY si distingue per essere riuscito a infiltrarsi anche in Google Play con almeno sei diverse app nel corso del 2018.

Secondo i ricercatori di Trend Micro Ecular Xu e Grey Guo, le applicazioni in oggetto sono state scaricate da un totale di 196 paesi diversi, spaziando dal Mozambico alla Polonia, dall’Iran al Vietnam, dall’Algeria alla Thailandia, dalla Germania all’Iraq e così via.

Le App di Google Play erano specificamente:

  • Flappy Birr Dog
  • FlashLight
  • HZPermis Pro Arabe
  • Win7imulator
  • Win7Launcher
  • Flappy Bird

tutte apparse l’anno scorso e ora non più presenti nel noto Store. Alcune sono state scaricate più di 100.000 volte da utenti di tutto il mondo.

In termini di capacità, il codice malevolo è principalmente un information-stealer, anche se ha anche un aspetto unico di phishing.

Quando si tratta del primo, vengono sottratti dati come la posizione dell’utente, i messaggi di testo, l’elenco dei contatti, il registro delle chiamate e eventuali elementi negli appunti; il malware è in grado di rubare e caricare i file trovati sul dispositivo. Trend Micro ha osservato che utilizza un Firebase Cloud Messaging (FCM) per comunicare con il suo server di comando e controllo (C&C) e che estrae i dati a seconda del comando ricevuto.

Raccoglie inoltre, in una fase iniziale, informazioni utili sul dispositivo, come la lingua utilizzata, il paese di registrazione, il nome del pacchetto, il produttore del dispositivo e così via, che possono essere utilizzate per ulteriori attacchi di social engineering o di exploit, il malware attenderà ed eseguirà i comandi inviati dal suo server C&C tramite FCM.

Oltre alle sue capacità di info-stealing, il malware può anche raccogliere ulteriori credenziali attraverso un attacco di phishing. Visualizza falsi pop-up di Facebook e Google che chiedono i dettagli dell’account dell’utente; se vengono inseriti, restituisce un messaggio di “log-in non riuscito” il che per un utente potrebbe sembrare tutto normale, pensando di aver sbagliato nella digitazione.

Il caso di MobSTSPY] dimostra che, nonostante la prevalenza e l’utilità delle applicazioni, gli utenti devono rimanere comunque molto cauti quando le scaricano sui loro dispositivi in quanto a volte la popolarità delle applicazioni serve da incentivo per i criminali informatici a diffondersi senza sospetto.

Il malware di Google Play è relativamente raro, ma questa non è la prima volta che il malware si è sottratto ai filtri e alle politiche di Google Play. Nel mese di novembre, un’applicazione Android con il nome di Simple Call recorder è stata eliminata, dopo essere stata disponibile per il download per quasi un anno. Lo scopo principale del malware era quello di indurre l’utente a installare un’applicazione aggiuntiva, che si presumeva essere un Adobe Flash Player Update.

Inoltre, lo scorso anno, Google ha rimosso 22 applicazioni adware dannose che vanno da torce, registratori di chiamata a booster di segnale WiFi che insieme sono stati scaricati fino a 7,5 milioni di volte dal mercato di Google Play.

Nel 2017, Google ha rimosso 700.000 applicazioni da Google Play per aver violato le politiche del mercato. Non tutte queste applicazioni erano tuttavia malware, la maggior parte di queste erano cloni di altre più popolari, applicazioni copiate nell’intero codice semplicemente per aggiungervi pubblicità e quindi guadagnare soldi.

Il problema, naturalmente, è che quando le applicazioni dannose vengono scoperte e eliminate, le persone che le hanno già sul proprio smartphone non vengono informate del problema, quindi è probabile che milioni di utenti abbiano ancora diversi tipi di malware installati sul proprio dispositivo. Uno studio condotto dal Pradeo Lab nel novembre 2018 ha infatti dimostrato che l’89% delle applicazioni dannose cancellate dagli store sono ancora installate su dispositivi attivi, sei mesi dopo la loro cancellazione, questo ci suggerisce che quindi servirebbe un sistema di notifica agli utenti.

Autore dell'articolo: Federico

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *