Antivirus Android: no, non è affatto inutile

Una buona fetta di utenti e addirittura alcune testate giornalistiche sono convinti che gli antivirus per Android siano di fatto inutili. A nostro avviso non c’è nulla di più sbagliato. In molti sostengono che “il futuro è nelle app” perché diversamente da quanto accade su Windows esse non possono essere foriere di malware. Errore.

È vero che sui dispositivi Android tutte le app vengono generalmente scaricate da uno store ufficiale qual è quello di Google ma non è affatto escluso che alcune di esse contengano codice potenzialmente dannoso.
Quando sul Play Store viene pubblicata una nuova applicazione oppure una versione aggiornata di un’app già esistente, Google ne effettua un controllo automatizzato provvedendone al caricamento da una macchina virtuale.
Alcuni comportamenti sospetti, però, possono sfuggire ed è per questo motivo che Google ha distribuito Play Protect (Google Play Protect evolve: abilitato di default su tutti i dispositivi Android), meccanismo posto in diretta correlazione con i servizi di sistema che si occupa di esaminare tutte le applicazioni via a via installate.

Quotidianamente Google si occupa poi di eliminare dal Play Store app che contengono codice dannoso o che comunque rappresentano una minaccia per gli utenti.
Limitandoci solamente alle ultime scoperte, basti pensare che centinaia di app – una volta installate – erano in grado di effettuare operazioni arbitrarie sulla base delle indicazioni ricevute da un server remoto (Scaricate 150 milioni di volte dal Google Play Store applicazioni che contenevano un componente dannoso), di mostrare messaggi pubblicitari e avvisi truffaldini in varie aree del sistema (Rimosse 85 app pubblicate sul Play Store di Google e contenenti fastidiosi adware), di sottrarre denaro dai conti degli utenti (vedere App pubblicata sul Play Store ruba le credenziali dei conti correnti bancari e Pericolose app scoperte nel Play Store di Google rubavano i dati bancari e ancora Le app malevole per Android si fanno più furbe: ecco le tattiche usate per prosciugare i conti correnti).

Di recente Sophos ha scoperto che in alcuni dispositivi Android prodotti da un famoso vendor, erano già presenti – sin dal momento del primo avvio – dei componenti malware: Malware preinstallato sui dispositivi Android: la denuncia di Sophos.
Ovvio che si è trattato di un problema a livello di supply chain: durante la catena distributiva qualcuno ha modificato la ROM ufficiale installata sul dispositivo mobile aggiungendovi componenti dannosi o comunque lesivi della privacy degli utenti.

Il fatto è che buona parte degli utenti è cullata da un falso senso di sicurezza derivante dall’installare le app esclusivamente da una sorgente considerata sicura come il Play Store di Google. Si dà quindi poco peso ai permessi richiesti dalle varie app e, come minimo, si espongono i propri dati alla mercé di soggetti del tutto sconosciuti.
Nell’articolo App Android pericolose per la sicurezza e la privacy ci siamo focalizzati proprio sul problema dei permessi.

Con Android Q Google renderà infatti ancora più fitte le maglie dei controlli impedendo l’abuso dei permessi che possono permettere di identificare univocamente gli utenti o sottrarre loro dati personali: Android Q, presentata la prima beta della nuova versione del sistema operativo.

Vogliamo poi parlare delle vulnerabilità che restano per mesi, se non per anni, sui dispositivi mobili Android commercializzati da quei produttori che non rilasciano alcun aggiornamento di sicurezza?
Molti vendor di device Android di fascia medio-bassa sono infatti soliti abbandonare i loro dispositivi già a poca distanza dalla prima immissione sul mercato: Google ogni mese è solita rilasciare una serie di aggiornamenti di sicurezza per Android ma sono pochi i produttori che fanno proprie tali patch, ne verificano l’implementazione su tutti i propri terminali e le distribuiscono agli utenti finali.
Il risultato è che gran parte dei dispositivi Android rimangono non aggiornati e soffrono di vulnerabilità che possono essere sfruttate dalle app installate oppure in modalità remota.

Provate a portarvi nelle impostazioni di Android, scegliere Sistema, Avanzate quindi Informazioni sul telefono o Informazioni sul tablet e infine cercare la voce Livello patch sicurezza Android. Se la data mostrata in corrispondenza di tale indicazione è piuttosto vecchia, significa che il dispositivo non è aggiornato con le ultime patch di sicurezza e che quindi è potenzialmente esposto a rischi di aggressione.

Google ha più volte tentato di portare i vendor di dispositivi Android sulla “retta via”: Google impone ai produttori di smartphone Android l’obbligo di rilasciare aggiornamenti continui ma come ha evidenziato uno studio dello scorso anno, i produttori di dispositivi Android si dimenticano di distribuire alcune patch, anche sui device più aggiornati.
Una delle soluzioni più efficaci per assicurarsi aggiornamenti regolari e la ricezione delle ultime versioni di Android sui propri dispositivi consiste oggi nella scelta di prodotti basati su Android One: Android One: confermati due anni di supporto da parte del produttore. In alternativa, soprattutto con i dispositivi che non sono più aggiornati dai rispettivi produttori, la strada è quella di passare a una ROM Android più recente, seppur non ufficiale: Aggiornamento Android, come effettuarlo quando sembra impossibile.

Basti pensare che esistono in circolazione malware che sono in grado di effettuare il rooting degli smartphone degli utenti sfruttando vulnerabilità note rimaste irrisolte sui loro stessi dispositivi: Un malware fa il rooting di Android e ruba i dati personali.

Non abbiamo fatto menzione, poi, del “problema umano”: sono ancora tantissimi gli utenti Android che scaricano e installano pacchetti APK da sorgenti sconosciute (per farlo basta attivare l’opzione Sorgenti sconosciute nelle impostazioni del sistema operativo). L’obiettivo è spesso quello di evitare il pagamento delle quote di registrazione (spesso di entità molto contenuta) richieste dagli sviluppatori Android: così facendo, il rischio di infettare il proprio dispositivo diventa ancora più elevato; uno schema che per anni è stato il principale veicolo per la diffusione di malware anche in Windows.

Quanto sin qui messo in evidenza dovrebbe far comprendere perché un antivirus Android non può essere definito, di per sé, inutile. Semmai può non essere indispensabile (soprattutto se l’utente dispone di un dispositivo Android aggiornato, se aggiorna le app installate, se pone massima attenzione ai permessi richiesti dalle app,…) ma non certo inutile. Lo abbiamo spiegato nell’articolo Antivirus per Android: servono davvero e quando utilizzarli?.

D’altra parte è ad esempio AV-Comparatives stessa a certificare molti antivirus Android sono estremamente efficaci mentre altre app, presentate come antimalware, rappresentano una minaccia per la sicurezza, nonostante fossero pubblicate sul Play Store di Google (esattamente come alcune app delle quali abbiamo fatto menzione in precedenza).

Gli esperti di AV-Comparatives spiegano che Google ha recentemente rimosso dal Play Store ben 32 applicazioni che si presentavano come antivirus ma che in realtà ponevano in essere comportamenti pericolosi.
Di 250 applicazioni antivirus pubblicate sul Play Store, 80 hanno evidenziato un comportamento apprezzabile, senza provocare alcun falso positivo.

Per AV-Comparatives i migliori antivirus per Android (100% di minacce riconosciute) sono i seguenti: AhnLab, Antiy, Avast, AVG, AVIRA, Bitdefender, BullGuard, Chili Security, Emsisoft, ESET, ESTSoft, F-Secure, G Data, Kaspersky Lab, McAfee, PSafe, Sophos, STOPzilla, Symantec, Tencent, Total Defense, Trend Micro, Trustwave.

È certamente vero che alcuni di questi prodotti tendono a rallentare il dispositivo mobile Android e a consumare batteria ma attivare almeno la scansione periodica del dispositivo – ad esempio quando esso si trovasse in carica, è una delle operazioni migliori che si potrebbero porre in essere.

Infine, ci sarà un motivo se in azienda è consigliabile utilizzare strumenti di Enterprise Mobility Management per gestire il fenomeno BYOD e l’installazione di app “arbitrarie” sui dispositivi Android degli utenti: Android, come gestire i dispositivi in azienda.