Malware mascherato da protezione antivirus

Una falsa app di Kaspersky Internet Security for Android evidenzia il pericolo di installare applicazioni al di fuori degli app store ufficiali.

In quasi tutti i post che riguardano Android, raccomandiamo di installare applicazioni solo da fonti ufficiali, e questo consiglio non cambierà nel breve periodo. Ecco un esempio recente che chiarisce il perché: alcuni scammer hanno diffuso Trojan bancari che si spacciavano per popolari lettori multimediali, per un’app per il fitness, un lettore di libri e anche per un prodotto che ci interessa da vicino, ovvero Kaspersky Internet Security for Android.

Perché è pericoloso installare applicazioni da fonti alternative

I marketplace di app di terze parti di per sé non hanno nulla di sbagliato, ma nessuno può sapere con certezza se un determinato store è affidabile. In un store ufficiale di applicazioni Android, che sia Google Play o Huawei AppGallery, i dipendenti delle rispettive compagnie controllano ogni applicazione presentata dagli sviluppatori, eliminando quelle che sono chiaramente dannose. Stiamo parlando di grandi aziende che ci tengono alla loro reputazione e alla sicurezza dei clienti, e hanno le risorse e le motivazioni affinché gli utenti continuino a non imbattersi nei malware.

A volte, tuttavia, i malware riescono comunque a intrufolarsi anche su Google Play, sebbene le probabilità siano di gran lunga inferiori rispetto alle bacheche, ai torrent o ad altri siti. I marketplace fieri di essere piccoli e indipendenti tendono a non eseguire molti controlli, in genere perché non hanno le risorse e, di conseguenza, le applicazioni apparentemente legittime in realtà potrebbero ospitare qualsiasi cosa, anche dei Trojan.

Vale la pena di menzionare che, scaricare malware su un dispositivo Android, di solito non è sufficiente per infettarlo. A meno che il malware non si basi su qualche tipo di exploit zero-day per ottenere i permessi di amministratore di sistema, l’installazione di un’app pericolosa su Android richiede un certo sforzo. Il sistema operativo interroga l’utente su ogni passo: se vuole davvero installare l’app, se accetta di concedere i permessi richiesti e così via. I criminali informatici impiegano l’ingegneria sociale per convincere le persone a dire di sì, e spesso ci riescono alla grande.

Sicurezza dannosa da un marketplace alternativo

Ecco un esempio. Non molto tempo fa, un gruppo di ricercatori ha segnalato la diffusione di applicazioni Android attraverso vari siti falsi. Le applicazioni includevano una versione falsa di Kaspersky Internet Security for Android.

I truffatori stavano diffondendo la loro app fasulla con il nome “Kaspersky Free Antivirus” (un tempo esisteva un nostro prodotto con quel nome, ma era per Windows). Su Google Play, la nostra app antivirus mobile ora si chiama Kaspersky Mobile Antivirus: Applock & Web Security.

Ironicamente, gli utenti che hanno scaricato la falsa app antivirus hanno ricevuto un Trojan bancario noto come TeaBot, che i nostri prodotti di sicurezza rilevano come HEUR: Trojan-Banker.AndroidOS.Teaban o HEUR: Trojan-Banker.AndroidOS.Regon.

Perché questa situazione è particolarmente problematica nel caso delle app antivirus? Perché l’utente non solo scarica e installa un Trojan bancario che si spaccia per un servizio di questo tipo, ma gli concede anche tutti i permessi che richiede. Dopotutto, un’autentica app antivirus ha bisogno di molte autorizzazioni, compreso l’accesso ai servizi di accessibilità.

E, quel che è peggio, in assenza di una vera protezione antivirus, il dispositivo non può rilevare i malware.

Completare l’installazione e concedere tutti i permessi richiesti dà al trojan TeaBot la possibilità di fare praticamente di tutto sul dispositivo Android. Le sue capacità sono molteplicu: keylogging, rubare i codici di Google Authenticator e sfruttare l’accessibilità in altri modi fino ad ottenere il pieno controllo da remoto del dispositivo Android.

Come assicurarsi che un’app sia legittima

L’antivirus non è l’unico travestimento di TeaBot. Il malware è anche disponibile come versioni false di alcune note app governative, finanziarie, di fitness e di lettura, per esempio. Per prevenire grattacapi, disattivate del tutto la capacità del vostro smartphone di installare applicazioni da fonti sconosciute, Android lo consente. E se avete bisogno di un’applicazione di qualsiasi tipo, cercatela su un marketplace ufficiale.

Fate anche molta attenzione ai permessi che concedete alle applicazioni. Se un’app per il fitness richiede inaspettatamente il permesso di usare le opzioni di Accessibilità, per esempio, pensateci due (o più) volte prima di acconsentire.

Infine, assicuratevi di utilizzare una protezione antivirus autentica. Essendo disponibile un’edizione completamente gratuita di Kaspersky Internet Security for Android, non c’è motivo di scaricarla da fonti non ufficiali. Potete trovare la nostra app antivirus sia su Google Play, sia nella Huawei AppGallery.

Consigli