Gli ultimi report dei vendor di sicurezza hanno evidenziato una nuova tendenza: l’utilizzo di software leciti e apparentemente innocui come vettori di attacco per malware che possano eludere i controlli degli app store, solitamente efficaci. “Drogando” app lecite, utilizzate come cavalli di troia, si verificano episodi anche molto gravi ed eclatanti, come il recente caso CCleaner.
L’ultimo software compromesso è stato scoperto dai ricercatori di Check Point Software Technologies, un’applicazione anti-virus mobile per Android, capace di raccogliere i dati utente senza il consenso dei proprietari dei dispositivi. L’applicazione, chiamata DU Antivirus Security è liberamente disponibile su Google Play, l’app store ufficiale di Google. La versione “infetta” ha girato sullo store dal 21 al 24 agosto scorso.
Eseguita per la prima volta, raccoglie informazioni dal dispositivo (identificatori univoci, contatti, registri chiamate…) e, potenzialmente, la posizione del dispositivo, crittografando il tutto e inviando a un server remoto per essere poi utilizzate da un’altra applicazione, Caller ID & Call Block – DU Caller, che fornisce agli utenti dati sulle chiamate in arrivo. Mentre gli utenti riponevano la propria fiducia nell’antivirus per proteggere le informazioni private, l’app Caller ID & Call Block – DU Caller faceva l’esatto contrario: raccoglieva le informazioni personali senza autorizzazione e le utilizzava per scopi commerciali.
Le applicazioni anti-virus godono del privilegio di richiedere autorizzazioni eccezionalmente estese, sono quindi la copertura perfetta per i truffatori che intendono abusare di queste autorizzazioni. In alcuni casi vengono utilizzate anche come esca per la distribuzione di malware.
Oltre a DU Antivirus Security, il team di ricerca ha rilevato lo stesso codice in altre 30 app, 12 delle quali presenti su Google Play, che lo store ha successivamente rimosso.
Queste applicazioni hanno probabilmente implementato il codice come una libreria esterna e hanno trasmesso i dati rubati allo stesso server remoto utilizzato da DU Caller. Nel complesso, secondo quanto riferito da Google Play, il codice illecito è stata scaricato tra le 10 e le 50 milioni di volte ed ha interessato tra i 24 e gli 89 milioni di utenti che hanno installato queste applicazioni.
Per proteggersi, in generale, può essere utile optare sempre per soluzioni di mobile threat prevention proposte da vendor autorevoli.
Per approfondimenti: il blog Check Point