Google sta conducendo una guerra senza fine contro delle minacce che vogliono rubare i dati attraverso app dannose. Almeno una volta al mese, la comunità della sicurezza informatica sembra trovare una campagna di malware che minaccia gli utenti Android. Alla fine del mese scorso, i ricercatori della società di sicurezza informatica ThreatFabric hanno trovato un altro cluster di pericolose app malware Android sul Play Store. Queste app si spacciavano per scanner PDF, lettori QR e app bancarie. Appartengono a quattro diverse famiglie di malware, sono stati distribuiti nel corso di quattro mesi e sono stati scaricati oltre 300.000 volte.
Come osserva ThreatFabric, Google ha fatto passi da gigante nel mantenere le app di malware Android fuori dal suo app store. Alcune settimane fa, Google ha chiuso una scappatoia che consentiva agli hacker di abusare degli strumenti di accessibilità per installare app senza il consenso dell’utente. Ma gli hacker non smettono mai di trovare nuovi modi per infiltrarsi nel negozio di app.
Poiché Google lavora così duramente per rilevare il malware, i creatori di queste app devono trovare nuovi modi per aggirare il rilevamento. Di conseguenza, gli autori delle minacce sono stati costretti a ridurre l’impronta delle app contagocce che creano. Invece di caricare un’app palesemente dannosa su Google Play, gli hacker distribuiranno invece “piccoli aggiornamenti di codice dannoso attentamente pianificati per un periodo più lungo”.
È un processo più lungo e complicato, ma ha molto più successo nell’evitare il rilevamento. Quando i ricercatori hanno inizialmente testato ciascuna delle app su VirusTotal, sono tornati puliti. Nel corso di giorni, settimane o mesi, un’app altrimenti innocua potrebbe diventare pericolosa.
Come funziona il malware
Secondo ThreatFabric, il trojan bancario Anatsa è responsabile della maggior parte delle infezioni scoperte dai suoi ricercatori. Il team è entrato nei dettagli su come Anatsa infetta gli smartphone:
Il processo di infezione con Anatsa si presenta così: all’avvio dell’installazione da Google Play, l’utente è costretto ad aggiornare l’app per continuare a utilizzare l’app. In questo momento, il payload Anatsa viene scaricato dai server C2 e installato sul dispositivo della vittima ignara.
Gli hacker si sono occupati di far sembrare le loro app legittime e utili. Ci sono un gran numero di recensioni positive ancher per le app che contengono malware. Il numero di installazioni e la presenza di recensioni potrebbero convincere gli utenti Android a installare un applicativo.
Ma nonostante il numero schiacciante di installazioni, non tutti i dispositivi su cui sono installati questi virus riceveranno Anatsa, poiché gli hacker hanno programmato le app per colpire solo nelle regioni di loro interesse.
Abbiamo coperto dozzine di app e campagne di malware Android in passato. Spesso, le app in questione non sono altro che falsi economici che non hanno altro scopo se non infettare i telefoni. In questo caso, le app funzionano davvero. Se l’utente vede i risultati desiderati dalla sua app, non ha motivo di preoccuparsi. Ecco perché Google, i ricercatori e gli utenti devono essere sempre più diligenti durante l’installazione delle app. Pensaci due volte prima di scaricare una nuova app, anche se è su Google Play.