Android 13: centinaia di app malevole su Google Play violano protezioni di sicurezza
Centinaia di app malevole nel Google Play Store
I ricercatori di Bitdefender hanno individuato una campagna su larga scala che ha distribuito centinaia di app malevole tramite il Google Play Store. Queste applicazioni, in grado di eludere le protezioni di Android 13, hanno totalizzato oltre 60 milioni di download prima di essere rimosse, ma al momento della ricerca almeno 15 erano ancora disponibili.
Le app incriminate non si limitano a mostrare annunci pubblicitari fuori contesto, ma in alcuni casi spingono gli utenti a inserire credenziali e dati delle carte di credito attraverso pagine di phishing. Molte si presentano come strumenti di uso quotidiano, come scanner di codici QR, app per il monitoraggio delle spese o della salute e downloader di file. Tra quelle individuate figurano Dropo, Handset Locator, Daily Spending, TranslateScan, AquaTracker, ClickSave Downloader e xScan.
Secondo Bitdefender, la strategia dei criminali prevede il rilascio iniziale di app apparentemente innocue, che in seguito vengono aggiornate con funzionalità malevole. Questa tecnica consente di aggirare i controlli di sicurezza di Google e di infettare un numero elevato di dispositivi prima di essere scoperti.
TECNICHE PER ELUDERE I CONTROLLI DI SICUREZZA
Per avviarsi automaticamente senza il consenso dell'utente, il malware utilizza un content provider nascosto, un metodo che permette all'app di eseguire codice subito dopo l'installazione senza necessità di essere aperta manualmente. Nei campioni più recenti, questa funzione è offuscata per evitare il rilevamento.
Un altro stratagemma adottato è la scomparsa dell'icona dal launcher, impedendo così agli utenti di individuare e rimuovere facilmente l'app. Questo comportamento, vietato dalle versioni recenti di Android, viene ottenuto abusando di API di sistema. In alcuni casi, le app si nascondono persino nel menu Impostazioni, rinominandosi con nomi ingannevoli come "Google Voice".
Un aspetto particolarmente insidioso di queste app è la loro capacità di mostrare annunci e schermate di phishing senza permessi visibili. Sfruttano infatti un display virtuale, che consente loro di sovrapporsi alle altre applicazioni senza utilizzare il permesso SYSTEM_ALERT_WINDOW. Questa tecnica viene usata non solo per visualizzare annunci pubblicitari a tutto schermo, ma anche per simulare schermate di login di servizi come Facebook o YouTube, inducendo le vittime a fornire credenziali e dati bancari.
Le comunicazioni con i server di comando e controllo (C2) avvengono tramite canali crittografati, con dati offuscati per rendere più difficile l'analisi. Gli sviluppatori del malware utilizzano strumenti avanzati come Armariris per nascondere il codice dannoso e implementano controlli anti-debug per evitare di essere individuati dai ricercatori di sicurezza.
