Uno sviluppatore cinese ha diffuso malware Android tramite le applicazioni pubblicate nel Play Store di Google. Lo sviluppatore di Mountain View – dietro segnalazione di CheckPoint – ha prontamente bloccato tutte le app che abusavano in maniera palese dei permessi degli utenti. L’utente DO Global utilizzava pratiche illecite per monetizzare alle spalle degli utilizzatori. A rischio c’è stata la sicurezza di tutti. Scopriamo di più sula vicenda.
App Android sospettate di comportamento illecito: il nuovo caso
Allo scopo di “proteggere seriamente gli utenti e gli inserzionisti pubblicitari”, Google ha creato strumenti e risorse per combattere le violazioni e le frodi in tutto il mondo: Le dichiarazioni della compagnia si rispecchiano nel volere comune di un ecosistema privo di insidie:
“Dobbiamo indagare attivamente sulle attività malevole e, quando vengono scoperte infrazioni, di agire in maniera insindacabile ad esempio togliendo la possibilità a uno sviluppatore di guadagnare con le sue app con il circuito AdMob o anche impedendo la pubblicazione di app su Google Play Store”.
Nell’occasione, i ricercatori hanno scoperto 6 app pericolose utilizzate per la creazione di un circuito ad hoc per il fake ad-clicking. Tradotto in termini più comprensibili, lo sviluppatore ha creato un sistema che simula in background il click sugli annunci pubblicitari. Delle 100 app regolarmente realizzate dall’utente 46 sono state eliminate scardinando tre blocchi fondamentali rilevati dagli analisti.
I blocchi di codice rinvenuti agivano in maniera distinta e separata attivando circuiti pubblicitari diversificati tra loro. Il commento dei ricercatori di sicurezza è stato:
“Non sono interconnessi in termini di codice visto che ognuno è archiviato in un pacchetto separato e viene avviato con azioni diverse”.
Ciò che ha unito i codici è stato il canale di comunicazione con il server “C&C” (Command & Control), adoperato per l’invio delle statistiche e la ricezione dei parametri di configurazione. Ogni tool ha operato in maniera simile, tramite un elemento listener caricato su un banner pubblicitario a sua volta interconnesso con il “MotionEvent” del framework di Android per simulare il click.
Le librerie utilizzate per i cosiddetti banner PreAMo hanno contato su approcci diversi. In totale sono stati scoperti tre varianti chiamate AdMob, Presage e Mopub. Ulteriori informazioni tecniche possono essere trovate a questo indirizzo.