Consigliamo sempre di scaricare le applicazioni Android solo dagli store ufficiali, ma questo non significa che non ci siano virus su Google Play. Tuttavia, è vero che ne troverete meno negli store ufficiali rispetto ai siti di terze parti, e quelli presenti vengono rimossi regolarmente.
In che modo Google controlla la sicurezza delle applicazioni Android?
Non è difficile per il malware intrufolarsi su Google Play. Prima di pubblicare un’applicazione, i moderatori verificano se l’app rispetta un ampio elenco di requisiti. Se trovano una violazione, proibiscono l’applicazione sullo store.
Tuttavia, Google Play riceve un numero così vasto di nuove applicazioni (e aggiornamenti di quelle già esistenti) che non è possibile per i moderatori tenere d’occhio tutto. Così, di tanto in tanto, le applicazioni dannose riescono a introdursi furtivamente. Ecco alcuni incidenti più eclatanti.
Scanner con un secondo fine
Recentemente, i nostri ricercatori hanno rilevato un codice dannoso nell’applicazione CamScanner per la digitalizzazione dei documenti. Non solo l’applicazione era disponibile su Google Play, ma secondo lo store è stata installata da più di 100 milioni di utenti.
Cosa è andato storto? Ebbene, fino a un certo punto, CamScanner era una normale applicazione che svolgeva semplicemente le funzioni indicate. I suoi sviluppatori hanno ricavato profitti dalla pubblicità e dagli acquisti in-app, e fino a qui niente di strano, ma tutto è cambiato quando una funzione dannosa è stata aggiunta all’applicazione.
Il malware sotto forma del Trojan Dropper Necro.n si è insinuato in uno dei moduli pubblicitari e ha installato un altro Trojan con il compito di scaricare altri malware sul dispositivo, come per esempio applicazioni pubblicitarie e programmi che iscrivono gli utenti a servizi in abbonamento e a pagamento.
I nostri esperti hanno segnalato la scoperta a Google e gli amministratori hanno rimosso l’app dallo store. Gli sviluppatori di CamScanner hanno anche prontamente rimosso i moduli dannosi dall’applicazione per poter reinserirla nello store. Tuttavia, la versione infetta è stata disponibile a lungo per il download.
Un riproduttore musicale ladruncolo
CamScanner non è l’unico esempio di applicazione nella quale sono apparse caratteristiche dannose dopo che era già disponibile su Google Play. I creatori di un Trojan camuffato da lettore per ascoltare musica in VKontakte (VK) sono riusciti a bypassare i moderatori dello store per diversi anni.
Una versione “pulita” è stata inizialmente caricata su Google Play, seguita da un paio di aggiornamenti innocui. Ma dopo qualche aggiornamento, l’applicazione ha iniziato a rubare credenziali dagli account di VK. Inoltre, gli account sono stati usati per promuovere furtivamente i gruppi di VK senza che gli utenti si accorgessero di nulla.
Quando la versione aggiornata del lettore è stata smascherata e cancellata dallo store, i suoi creatori ne hanno immediatamente caricato una nuova (in realtà, diverse). Nel 2015, sono state rimosse da Google Play più di sette buildi diversi del programma dannoso, e qualcuno in più nel 2016. Nel giro di due mesi nel 2017, i nostri analisti hanno rilevato 85 applicazioni di questo tipo su Google Play, una delle quali era stata scaricata più di un milione di volte. Inoltre, nello store sono apparse versioni false di Telegram degli stessi autori. Queste applicazioni non hanno rubato credenziali, ma hanno aggiunto le vittime a gruppi e chat di interesse per i cybercriminali.
L’esercito dannoso di Google Play
Ahimè, 85 copie di un’applicazione dannosa non corrisponde alla fine della storia. Nel 2016, gli esperti hanno rilevato non meno di 400 giochi e altri programmi su Google Play provvisti del Trojan DressCode.
Una volta sul dispositivo della vittima, il malware stabilisce una connessione con il server command-and-control e poi si “appisola”. In seguito, i criminali informatici possono utilizzare i dispositivi infetti per attacchi DDoS, per aumentare i clic su banner pubblicitari o per infiltrarsi nelle reti locali a cui sono collegati questi dispositivi, come una rete domestica o l’infrastruttura di un’azienda.
In tutta onestà, i moderatori di Google Play non possono essere incolpati di un controllo disattento. DressCode è piuttosto difficile da individuare, il suo codice è così piccolo che si perde in quello dell’app. Inoltre, sono stati rilevati molti più programmi infetti su siti di terze parti rispetto a Google Play; in totale, i ricercatori hanno trovato circa 3.000 giochi, skin e applicazioni per la pulizia degli smartphone contenenti il Trojan DressCode. Eppure, 400 è ancora un bel numero.
Come non imbattersi in un malware su Google Play
Come potete vedere, il semplice fatto che un’applicazione sia riuscita a entrare nello store ufficiale di Android non significa che sia sicura, a volte anche i malware ci riescono. Per evitare un’infezione, diffidate di tutte le applicazioni, comprese quelle su Google Play, e seguite alcune regole di “igiene digitale”.
- Non scaricate subito le applicazioni sullo smartphone. Leggete prima le recensioni degli utenti, possono contenere informazioni preziose sul loro comportamento. Cercate informazioni sullo sviluppatore, forse le sue vecchie app sono state rimosse dallo store, oppure è coinvolto in qualche faccenda ambigua;
- Leggete le recensioni degli utenti con cautela. Tenete presente che alcuni sviluppatori potrebbero riempire le loro pagine di recensioni positive, quindi cercate recensioni che abbiano una lunghezza decente (non semplicemente “Ottima applicazione!”), che usino un linguaggio naturale e trasmettano sicurezza;
- Eliminate programmi inutili di tanto in tanto dal vostro smartphone o tablet Android. Meno applicazioni avrete sul dispositivo, più facile sarà monitorarle;
- Avvaletevi di una soluzione di sicurezza affidabile, vi proteggerà dalle sviste dei moderatori di Google Play.
Quindi, è vero o falso che non ci sono app dannose su Google Play?
Falso. I malware di tanto in tanto si intrufolano su Google Play. Il rischio di contrarre un’infezione nello store ufficiale di Android è molto più basso rispetto ai siti di terze parti, ma esiste comunque.