Alcune app Android pubblicate sul Play Store scaricavano malware sui dispositivi

Si parla tantissimo del ruolo dei siti web e del rispetto che gli editori devono avere nei confronti dei lettori evitando di caricare cookie traccianti alla prima visita. Ma ancora oggi il ben più importante problema legato al comportamento tenuto dalle applicazioni installate sui dispositivi mobili rimane ancora ben lungi dall’essere oggetto di verifiche puntuali e azioni a tutela degli utenti.

Se un’app pubblicata sul Play Store di Google può scaricare, una volta installata, componenti malware capaci di sottrarre dati personali e credenziali degli utenti (come quelle per l’accesso ai conti correnti bancari) oltre che consegnare il controllo remoto del telefono ai criminali informatici siamo davvero giunti a un punto di non ritorno.

Si pensa troppo al ruolo dei cookie quando invece il problema delle app installate sui dispositivi mobili degli utenti è troppo spesso sottovalutato.
Ecco perché in molti casi, soprattutto se l’utente è solito installare app Android sviluppate da soggetti poco noti, un antivirus da installare sul dispositivo mobile è non solo utile ma anche consigliabile: Antivirus per Android: servono davvero e quando utilizzarli?.

I ricercatori di Check Point hanno spiegato che nel caso di 9 app Android pubblicate fino a poco tempo fa sul Google Play Store è stato utilizzato un approccio Malware-as-a-Service.
Al fine di scavalcare i controlli automatizzati effettuati sui server Google al momento dell’upload delle app, infatti, gli sviluppatori hanno caricato applicazioni che non contenevano di per sé alcun codice malevolo.

Le stesse app, una volta installate sui dispositivi Android degli utenti, hanno però disposto il download del codice dannoso da un server command & control (C&C) amministrato dai criminali informatici.
Per restare “under-the-radar” ovvero per non essere riconosciuto dai controlli automatizzati esercitati da Google il dropper (ovvero il componente che scaricava il malware), battezzato Clast82, utilizzava Firebase (di proprietà di Google) come piattaforma per la comunicazione C&C.
Al momento della pubblicazione delle app sul Play Store, inoltre, gli aggressori hanno modificato il comportamento del server attivato su Firebase in modo da non destare sospetti per poi riattivarlo successivamente.
Il payload del malware veniva inoltre scaricato dalla nota piattaforma GitHub ancora una volta per sfuggire ai controlli.

Al termine del processo veniva installato sui dispositivi degli utenti il malware AlienBot Banker progettato per acquisire i dati di autenticazioni degli utenti dalle app finanziarie bypassando i meccanismi di autenticazione a due fattori.
Allo stesso tempo Clast82 utilizzava un modulo per il controllo remoto che integrava il modulo server di TeamViewer rendendo il dispositivo amministrabile a distanza dagli aggressori.

Tra le app Android, ora rimosse, che ospitavano il malware c’erano alcuni servizi VPN, riproduttori multimediali, registratori audio e lettori di codici QR: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibrary, QRecorder.

“La capacità del dropper di restare inosservato dimostra l’importanza della necessità di utilizzare una soluzione per la sicurezza mobile“, ha osservato Aviran Hazum, Manager of Mobile Research di Check Point. “Non è sufficiente eseguire la scansione dell’app durante l’analisi iniziale (al momento della pubblicazione sul Play Storem o subito dopo l’installazione, n.d.r.) “in quanto un soggetto malintenzionato può cambiare il comportamento dell’app in qualunque momento utilizzando strumenti di terze parti“.

Questa strategia criminale è comune a molti sviluppatori di app Android ma anche, su desktop, ad alcuni soggetti che acquistano famose estensioni per il browser Chrome farcendole di componenti dannosi: Estensioni Chrome che vengono vendute e diventano pericolose.