Un malware recentemente scoperto nel Google Play Store agisce tramite 38 applicazioni dannose travestite da app di giochi e di formazione.
Tali app (identificate come Android.Reputation.1) sono state pubblicate nel Play Store nel 2017. L’app Norton Mobile Security Advisor per Google Play avvisa gli utenti di queste applicazioni. Notiamo una di esse in modo più dettagliato. com.aladdinandtheancientmagiclamp.aladdingames ad esempio. Il nome visualizzato su Google Play Store si traduce in “Aladdin and the Ancient Magic Lamp”. Quando l’app è installata su un dispositivo, ha un nome falso: “Helper”. Una volta che l’app si avvia, richiama l’API setComponentEnabledSettings per far sì che l’icona venga rimossa dalla schermata principale. Nonostante ciò, l’app continua a essere attiva in background. L’applicazione dannosa reindirizza con forza le vittime per installare un’altra app sul Play Store una volta che è stata lanciata.
Sotto copertura, l’app ha un servizio in background che controlla lo stato della connettività di rete. In questo modo l’app controlla se il dispositivo compromesso ha installato una delle 37 applicazioni dannose incluse. In caso contrario, l’app caricherà diversi URL in background. Gli URL portano a vari blog, forse per aumentare il traffico web verso questi siti. La presenza delle app sul Google Play Store e i nomi e le descrizioni apparentemente legittimi delle app hanno permesso il download su almeno 10.000 dispositivi. Symantec ha informato Google di queste app e sono state rimosse.
Come prevenire che un malware possa attaccare il proprio dispositivo?
In queste situazioni, bisogna mantenere aggiornato il proprio software, non scaricare app da siti sconosciuti e non attendibili, prestare attenzione alle autorizzazioni richieste dalle app. Inoltre, può esser d’aiuto installare un’app di sicurezza mobile adatta, come Norton. Infine, è raccomandabile fare frequenti backup dei dati.
Il noto malware scoperto nel Google Play Store attacca tramite 38 app che sembrano innocue ma non lo sono
Questo insieme di app è riuscito a tornare nel Play Store anche dopo le segnalazioni a Google e la rimozione. Lo stesso codice è stato pubblicato su Google Play con un nome leggermente diverso in un nuovo editore. Quindi, le app coinvolte da Android.Reputation.1 sono diminuite, ma sono di nuovo nello Store. Le app dannose includono aggiunte di tastiera emoji, app per pulire il dispositivo, calcolatrici, registratori di chiamata, ecc.
Tutte queste app attaccano in modi simili, ad esempio:
1) Aspettano prima di intraprendere la truffa. Il malware è configurato per attendere quattro ore prima di lanciare l’attività dannosa, in modo da non destare immediatamente sospetti.
2) Vengono richiesti i privilegi di amministratore. Le applicazioni cerca di innalzare la barriera per la disinstallazione usurpando il marchio di fiducia per farcela.
3) C’è anche la possibilità di cambiare l’icona di avvio e l’icona “app in esecuzione” nelle impostazioni di sistema. Ancora una volta, sono utilizzate icone ben note e affidabili, in particolare quella di Google Play e Google Maps.
Sebbene il malware visualizzato su Google Play sia all’avanguardia, i nomi dei pacchetti sul Play Store sono un punto debole. Ovviamente, il modo più infallibile per identificare il malware implica una combinazione bilanciata di raccolta dati, apprendimento automatico e competenza umana, il tutto incentrato sul comportamento delle app. Questo è l’approccio alla base della tecnologia di sicurezza mobile di Symantec Mobile Insight.