App Android dannose con 300.000 installazioni trovate su Google Play
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 20 Luglio 2022
Tags: #malware, #android, #googleplay
Tags: #malware, #android, #googleplay
*DISINSTALLATE QUESTE APP*
I ricercatori della sicurezza informatica hanno scoperto tre famiglie di malware Android che si infiltrano nel Google Play Store, nascondendo i loro payload dannosi all'interno di molte applicazioni apparentemente innocue.
Le attività dannose subite dagli utenti che hanno installato le app malware includevano dati rubati, acquisizioni di account sui social media, intercettazione di SMS e addebiti non autorizzati sui loro numeri di cellulare.
Le famiglie di malware scoperte da ThreatLabz di Zscaler sul Google Play Store sono note come "Joker", "Facestealer" e "Coper".
Gli analisti hanno informato Google delle loro scoperte e da allora tutte le app sono state rimosse dal Play Store. Tuttavia, coloro che utilizzano ancora queste app dannose dovranno rimuoverle ed eseguire un dispositivo di sradicamento per sradicare eventuali resti.
La famiglia di malware Joker viene utilizzata per rubare informazioni da dispositivi compromessi, inclusi i messaggi SMS e l'elenco dei contatti della vittima, sottoscrivendo anche numeri di cellulare a servizi WAP (Wireless Application Protocol) premium.
Il rapporto di Zscaler elenca 50 applicazioni trojanizzate con Joker che complessivamente rappresentano oltre 300.000 download sul Play Store.
Quasi la metà sono app di comunicazione perché richiedono naturalmente agli utenti di concedere l'accesso a autorizzazioni rischiose, quindi è più facile per il malware acquisire i privilegi di alto livello necessari per il suo funzionamento dannoso.
Gli sviluppatori di Joker ora nascondono il payload in un file di asset comune, in forma offuscata base64, a volte assegnandogli un'estensione di file JSON, TTF, PNG o di database.
"Molte app Joker nascondono il carico utile nella cartella delle risorse dell'Android Package Kit (APK) e creano un eseguibile ARM ABI per evitare il rilevamento da parte della maggior parte delle sandbox basate sull'architettura x86", spiega Zscaler nel rapporto.
Come previsto dal nome del malware, Facestealer ruba gli account Facebook delle vittime utilizzando moduli di accesso falsi sovrapposti ai moduli di accesso delle app legittime.
I ricercatori hanno trovato un'app che nascondeva la particolare famiglia di malware nel suo codice, un'utilità dal suono innocuo chiamata "Vanilla Snap Camera", installata circa 5.000 volte. Pagina di accesso di Facebook falsa sovrapposta al dispositivo compromesso Accesso a Facebook presumibilmente necessario per utilizzare l'applicazione (Zscaler)
Coper è un malware per il furto di informazioni in grado di intercettare i testi SMS, registrare il testo immesso sui dispositivi, eseguire attacchi in overlay, inviare SMS dannosi ed esfiltrare i dati ai server dell'attaccante.
Gli analisti di Zscaler hanno trovato almeno un'app, denominata "Unicc QR Scanner", che nascondeva Coper nel suo codice, che ha compromesso circa 1.000 dispositivi.
Sebbene l'app stessa inizialmente non contenga alcun codice dannoso, una volta installata e avviata, scaricherà il malware tramite un falso aggiornamento del programma.
Come stare al sicuro
Da Google Play Store, installa solo le applicazioni assolutamente essenziali, leggi le recensioni prima di installare un'app per vedere se qualcuno ha riscontrato comportamenti dannosi e fidati solo dei grandi editori noti. Al momento dell'installazione, prestare attenzione ai permessi richiesti ed evitare di concedere l'accesso a quelli rischiosi, soprattutto se non sembrano essere collegati alle funzionalità principali dell'app. Infine, assicurati che Play Protect sia attivo sul tuo dispositivo e monitora regolarmente i dati di rete e il consumo della batteria per portare alla luce eventuali processi sospetti in esecuzione in background.