In queste ore, Google sembra aver rimosso ben 17 applicazioni dal suo Play Store, per via del malware “Joker” (noto anche come “Bread”) , individuate dark ricercatori per la sicurezza di Zscaler.
Play Store: 17 app infette che rubavano dati sensibili
Secondo Viral Gandhi, ricercatore di Zscaler:
Questo spyware è progettato per rubare messaggi SMS, elenchi di contatti e informazioni sui dispositivi, insieme alla registrazione silenziosa della vittima per servizi WAP (Wireless Application Protocol) premium.
Le 17 app dannose sono state caricate sul Play Store questo mese; purtroppo, sono state scaricate più di 120.000 volte prima di essere rilevate come potenzialmente pericolose dal noto gigante della tecnologia.
I nomi delle 17 app erano le seguenti:
- All Good PDF Scanner;
- Mint Leaf Message-Your Private Message;
- Unique Keyboard – Fancy Fonts & Free Emoticons;
- Tangram App Lock;
- Direct Messenger;
- Private SMS;
- One Sentence Translator – Multifunctional Translator;
- Style Photo Collage;
- Meticulous Scanner;
- Desire Translate;
- Talent Photo Editor – Blur focus;
- Care Message;
- Part Message;
- Paper Doc Scanner;
- Blue Scanner;
- Hummingbird PDF Converter – Photo to PDF;
- All Good PDF Scanner.
Come già fatto in passato, senza pensarci troppo, BigG ha rimosso le applicazioni dal Play Store utilizzando il servizio di Play protect per disabilitarle sui dispositivi infetti. Ad ogni modo, gli utenti devono intervenire manualmente rimuovendole dai proprio telefoni.
Questa recente rimozione segna la terza operazione da parte del team di sicurezza di Google contro un lotto di app infette da Joker negli ultimi mesi. Sembra che il collettivo di hacker che ha rilasciato il malware stia lavorando a pieno regime per mettere a soqquadro il Play Store. Non è un caso che il nome dato al “virus” sia proprio Joker…
BigG ha rimosso sei di queste app all’inizio del mese dopo che erano state individuate e segnalate dal team di Pradeo; prima di allora, l’azienda aveva rimosso un altro lotto di software infetto grazie al lavoro svolto da Anquanke. Quest’ultimo, era però attivo da marzo ed è riuscito ad colpire milioni di dispositivi, purtroppo.
Il modo in cui queste app infette riescono a farsi strada oltre le difese di Google raggiungendo il Play Store, avviene attraverso una tecnica chiamata “dropper”, attraverso la quale il device viene infettato in un processo in più fasi. Paradossalmente la tecnica è semplice, ma difficile da contrastare, dal punto di vista di BigG.
Gli autori di malware iniziano clonando la funzionalità di un’app qualunque e la caricano sul Play Store; il software risulta funzionante e richiede l’accesso ad autorizzazioni pericolose ma, in prima istanza, non esegue alcuna operazione dannosa. Siccome queste avvengono dopo un po’, le scansioni di sicurezza di Google non rilevano il codice dannoso, passando indenne al severo controllo della compagnia.
Una volta sul dispositivo di un utente però, l’app scarica e rilascia altri componenti o app all’interno del sistema che contengono il malware Joker o altri ceppi di virus. Pensate a queste app come al famoso cavallo di Troia. Il paragone è pressoché simile.
A gennaio scorso ad esempio, Google aveva pubblicato un post sul suo blog in cui descriveva “Joker” come una delle minacce più persistente e avanzate che avesse affrontato negli ultimi anni. La compagnia ha anche dichiarato che i suoi team di sicurezza hanno rimosso più di 1700 app infette dal suo store negli ultimi tre anni.
Anquake invece, afferma di aver rilevato oltre 13.000 campioni di Joker da quando il malware è stato scoperto per la prima volta nel dicembre del 2016. Proteggersi da questo software in teoria, sarebbe anche facile. Basta che gli utenti dimostrino una certa cautela durante l’installazione delle app non concedendo con facilità i permessi.
