App malware Android con 2 milioni di installazioni trovate su Google Play
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 19 Agosto 2022
Tags: #sicurezza, #malware, #android
Tags: #sicurezza, #malware, #android
App malware Android con 2 milioni di installazioni trovate su Google Play
Malware Android
Un nuovo lotto di trentacinque app Android malware che visualizzano pubblicità indesiderate è stato trovato sul Google Play Store, con le app installate oltre 2 milioni di volte sui dispositivi mobili delle vittime.
Le app sono state trovate dai ricercatori di sicurezza di Bitdefender, che hanno utilizzato un metodo di analisi del comportamento in tempo reale per scoprire le applicazioni potenzialmente dannose.
Seguendo le tattiche standard, le app attirano gli utenti a installarle fingendo di offrire alcune funzionalità specializzate, ma cambiano il loro nome e l'icona subito dopo l'installazione, rendendole difficili da trovare e disinstallare.
Da quel momento in poi, le app dannose iniziano a fornire pubblicità intrusive agli utenti abusando di WebView, generando impressioni fraudolente ed entrate pubblicitarie per i loro operatori.
Inoltre, poiché queste app utilizzano il proprio framework per caricare gli annunci, è probabile che sia possibile eliminare payload aggiuntivi su un dispositivo compromesso.
Come spiega Bitdefender nel rapporto, le app adware implementano più metodi per nascondersi su Android e persino ricevere aggiornamenti successivi per rendere più facile nascondersi sui dispositivi.
Dopo l'installazione, le app in genere assumono un'icona a forma di ingranaggio e si rinominano come "Impostazioni", per eludere il rilevamento e l'eliminazione.
Se l'utente fa clic sull'icona, l'app avvia l'app malware con una dimensione 0 da nascondere alla vista. Il malware avvia quindi il menu Impostazioni legittimo per indurre gli utenti a pensare di aver lanciato l'app corretta.
In alcuni casi, le app assumono l'aspetto di app di sistema Motorola, Oppo o Samsung.
Le app dannose presentano anche un pesante offuscamento del codice e crittografia per contrastare gli sforzi di reverse engineering, nascondendo il principale carico utile Java all'interno di due file DEX crittografati.
Un altro metodo per nascondere le app all'utente è escludersi dall'elenco "App recenti", quindi anche se vengono eseguite in background, l'esposizione dei processi attivi non li rivelerà.
Le 35 applicazioni Android dannose hanno un numero di download compreso tra 10.000 e 100.000, per un totale di oltre due milioni di download.
**I più popolari di questi, con 100k download ciascuno, sono i seguenti:
Walls light – Pacchetto sfondi (gb.packlivewalls.fournatewren)
Big Emoji – Tastiera 5.0 (gb.blindthirty.funkeyfour)
Grandi sfondi – Sfondi 3D 2.0 (gb.convenientsoftfiftyreal.threeborder)
Sfondi del motore (gb.helectronsoftforty.comlivefour)
Sfondi Stock (gb.fiftysubstantiated.wallsfour)
EffectMania – Editor di foto 2.0 (gb.actualfifty.sevenelegantvideo)
Art Filter – Deep Photoeffect 2.0 (gb.crediblefifty.editconvincengeight)
APK tastiera Emoji veloce (de.eightylamocenko.editioneights)
Crea adesivo per Whatsapp 2.0 (gb.convincingmomentumeightyverified.realgamequicksix)
Risolutore di matematica – Camera Helper 2.0 (gb.labcamerathirty.mathcamera)
Effetti Photopix – Art Filter 2.0 (gb.mega.sixtyeffectcameravideo)
Tema principale – Tastiera colorata 2.0 (gb.theme.twentythreetheme)
Adesivo animato Master 1.0 (am.asm.master)
Suoni del sonno 1.0 (com.voice.sleep.sounds)
Personality Charging Show 1.0 (com.charger.show)
Fotocamera di distorsione dell'immagine
Localizzatore GPS (smart.ggps.lockakt)
Di quanto sopra, "Walls light - Wallpapers Pack", "Animated Sticker Master" e "GPS Location Finder" sono ancora disponibili sul Play Store durante la stesura di questo articolo.
Bleeping Computer ha contattato Google in merito e aggiorneremo questo post non appena riceveremo una risposta.
Il resto delle app elencate sono disponibili su più app store di terze parti come APKSOS, APKAIO, APKCombo, APKPure e APKsfull, ma i conteggi dei download presentati provengono dal loro tempo sul Play Store.
Detto questo, se hai installato una di queste app in passato, dovresti individuarle e rimuoverle immediatamente dal tuo dispositivo.
Poiché le app si mascherano da Impostazioni, in questo caso potrebbe essere utile eseguire uno strumento AV mobile per individuarle e rimuoverle.