Gli utenti tendono a pensare che sia sicuro installare app da Google Play. Dopotutto, è il più ufficiale di tutti gli store ufficiali per Android e tutte le app sono accuratamente controllate dai moderatori di Google, no?
Occorre tuttavia tenere presente che Google Play ospita più di tre milioni di app diverse, la maggior parte delle quali viene aggiornata regolarmente, e che il loro esame approfondito (e intendiamo davvero approfondito) va oltre le risorse anche di una delle più grandi aziende del mondo.
Ben consapevoli di questo, i produttori di app dannose hanno sviluppato una serie di tecniche per infiltrare le loro creazioni in Google Play. In questo post esaminiamo i casi più clamorosi del 2023 relativi ad app dannose presenti nello store ufficiale di Android, con un numero totale di download superiore a 600 milioni. Iniziamo!
50.000 download: l’app iRecorder infetta intercetta gli utenti
Cominciamo con il caso di iRecorder, piuttosto secondario, ma interessante e molto esemplificativo. Questa app di registrazione dello schermo per smartphone Android, che non ha nulla di particolare, è stata caricata in Google Play nel settembre 2021.
Ma successivamente, nell’agosto 2022, i suoi sviluppatori hanno aggiunto alcune funzionalità dannose: il codice del Trojan di accesso remoto AhMyth, che faceva sì che gli smartphone di tutti gli utenti che avevano installato l’app registrassero l’audio dal microfono ogni 15 minuti e lo inviassero al server dei creatori dell’app. Quando i ricercatori hanno scoperto il malware nel maggio 2023, l’app iRecorder era stata scaricata più di 50.000 volte.
Questo esempio illustra uno dei modi in cui le app dannose si insinuano in Google Play. Inizialmente, i cybercriminali caricano nello store un’app innocua che garantisce il superamento di tutti i controlli di moderazione. In seguito, quando l’app si è creata un pubblico e una sorta di reputazione (cosa che può richiedere mesi o perfino anni), viene ampliata con funzionalità dannose in un successivo aggiornamento caricato in Google Play.
620.000 download: Trojan Fleckpe per l’abbonamento a servizi a pagamento
Sempre nel maggio 2023, i nostri esperti hanno scoperto che diverse app in Google Play sono state infettate dal Trojan Fleckpe, che esegue segretamente l’abbonamento a servizi a pagamento. A quel punto, erano già state eseguite 620.000 installazioni. È interessante notare che queste app sono state caricate da diversi sviluppatori. Questa è un’altra tattica comune. I cybercriminali creano numerosi account per sviluppatori nello store: in tal modo, anche se alcuni vengono bloccati dai moderatori, possono semplicemente caricare un’app simile su un altro account.
Quando l’app infetta veniva eseguita, il payload dannoso principale veniva scaricato nello smartphone della vittima, dopodiché il Trojan si connetteva al server di comando e controllo e trasferiva le informazioni sul paese e sull’operatore di telefonia mobile. Sulla base di queste informazioni, il server forniva istruzioni su come procedere. Fleckpe apriva quindi pagine Web con abbonamenti a pagamento in una finestra del browser invisibile all’utente e, intercettando i codici di conferma dalle notifiche in arrivo, iscriveva l’utente a servizi a pagamento inutili tramite l’account dell’operatore di telefonia mobile.
1,5 milioni di download: spyware cinese
Nel luglio 2023, è stato scoperto che Google Play ospitava due file manager: uno con un milione di download, l’altro con mezzo milione. Nonostante le assicurazioni degli sviluppatori in merito al fatto che le app non eseguivano alcuna raccolta di dati, i ricercatori hanno scoperto che entrambe trasmettevano molte informazioni sull’utente a server in Cina, inclusi contatti, geolocalizzazione in tempo reale, dati sul modello di smartphone e sulla rete cellulare, foto, audio, file video e altro ancora.
Per evitare di essere disinstallate dall’utente, le app infette nascondevano le proprie icone, un’altra tattica comune utilizzata dai creatori di malware per i dispositivi mobili.
2,5 milioni di download: adware in background
In un recente caso di rilevamento di malware su Google Play nell’agosto 2023, i ricercatori hanno individuato ben 43 app (tra cui lettori TV/DMB, downloader di musica, notizie e calendario) che caricavano segretamente annunci quando lo schermo dello smartphone dell’utente era spento.
Per poter svolgere la propria attività in background, le app richiedevano all’utente di aggiungerle all’elenco delle esclusioni per il risparmio energetico. Naturalmente, gli utenti interessati riscontravano una riduzione della durata della batteria. Queste app hanno avuto un totale complessivo di 2,5 milioni di download e il pubblico di destinazione era principalmente coreano.
20 milioni di download: app fraudolente che promettono premi
Uno studio pubblicato all’inizio del 2023 ha rivelato diverse app fraudolente su Google Play con oltre 20 milioni di download. Posizionandosi principalmente come sistemi di monitoraggio delle condizioni di salute, promettevano agli utenti premi in denaro per le passeggiate e altre attività, nonché per la visualizzazione di annunci pubblicitari o l’installazione di altre app.
Più precisamente, all’utente venivano assegnati dei punti per queste azioni, che avrebbero poi potuto essere convertiti in denaro reale. L’unico problema era che, per ottenere un premio, era necessario accumulare un numero così elevato di punti che risultava di fatto impossibile.
35 milioni di download: cloni di Minecraft con adware all’interno
Quest’anno Google Play ha ospitato anche giochi dannosi: il principale colpevole (e non è la prima volta) è stato Minecraft, ancora uno dei titoli più popolari al mondo. Nell’aprile 2023 sono stati rilevati 38 cloni di Minecraft nello store ufficiale di Android, con un totale di 35 milioni di download. All’interno di queste app era nascosto un adware chiamato, in modo abbastanza appropriato, HiddenAds.
Quando le app infette venivano avviate, “visualizzavano” annunci nascosti all’insaputa dell’utente. Ciò non rappresentava una grave minaccia di per sé, ma tale comportamento poteva influire sulle prestazioni del dispositivo e sulla durata della batteria.
Inoltre, tali app infette potevano sempre essere seguite da uno schema di monetizzazione molto meno innocuo. Questa è un’altra tattica standard dei creatori di app malware per Android: passano facilmente da un tipo di attività dannosa all’altra, a seconda di quello che è più redditizio in un dato momento.
100 milioni di download: raccolta di dati e frodi mediante clic
Sempre nell’aprile 2023, in Google Play sono state individuate altre 60 app infette da un adware che i ricercatori hanno soprannominato Goldoson. Queste app hanno avuto complessivamente più di 100 milioni di download in Google Play e altri otto milioni nel popolare app store coreano ONE Store.
Questo malware “visualizzava” anche annunci nascosti aprendo pagine Web all’interno dell’app in background. Inoltre, le app dannose raccoglievano i dati dell’utente, comprese informazioni sulle app installate, la geolocalizzazione, gli indirizzi dei dispositivi connessi allo smartphone tramite Wi-Fi e Bluetooth e altro ancora.
Sembra che Goldoson sia entrato in tutte queste app insieme a una libreria infetta utilizzata da molti sviluppatori legittimi che semplicemente non erano consapevoli del fatto che contenesse funzionalità dannose. Questo non è un caso isolato: spesso i creatori di malware non sviluppano e pubblicano direttamente app su Google Play, ma creano librerie infette di questo tipo che finiscono nello store insieme alle app di altri sviluppatori.
451 milioni di download: annunci di minigiochi e raccolta di dati
Chiudiamo con il più importante caso dell’anno: nel maggio 2023, un team di ricercatori ha individuato in Google Play ben 101 app non idonee, con un numero totale di download pari a 421 milioni. In ognuna di esse era nascosta una libreria di codice denominata SpinOk.
Poco dopo, un altro team di ricercatori ha scoperto in Google Play altre 92 app che includevano la stessa libreria SpinOk, con un numero di download leggermente più modesto: 30 milioni. In tutto, sono state trovate quasi 200 app contenenti il codice SpinOK, con un totale di 451 milioni di download da Google Play.Questo è un altro caso in cui codice pericoloso è stato inserito nelle applicazioni da una libreria di terze parti.
In apparenza, il compito delle app era quello di visualizzare minigiochi invadenti che promettevano premi in denaro. Ma non era tutto: la libreria SpinOK aveva la capacità di raccogliere e inviare in background dati e file dell’utente al server di comando e controllo dei suoi sviluppatori.
Come proteggersi dai malware in Google Play
Naturalmente, non abbiamo trattato tutti i casi di applicazioni dannose che sono arrivate su Google Play nel 2023, ma solo i più eclatanti. La principale conclusione di questo post è: il malware in Google Play è molto più comune di quanto chiunque di noi potrebbe pensare. Le app infette hanno fatto registrare un numero totale di download superiore a mezzo miliardo!
Tuttavia, gli store ufficiali rimangono di gran lunga le fonti più sicure. Scaricare app altrove è molto più pericoloso, motivo per cui lo sconsigliamo vivamente. Tuttavia, è necessario prestare attenzione anche negli store ufficiali:
- Ogni volta che scarichi una nuova app, controlla attentamente la sua pagina nello store per assicurarti che sia originale. Presta particolare attenzione al nome dello sviluppatore. Non è insolito per i cybercriminali clonare app popolari e posizionarle in Google Play con nomi, icone e descrizioni simili per attirare gli utenti.
- Non basarti sulla valutazione complessiva dell’app perché è facile da gonfiare. Anche le recensioni entusiastiche non sono difficili da falsificare. Concentrati invece sulle recensioni negative con valutazioni basse: è lì che di solito puoi trovare una descrizione di tutti i problemi dell’app.
- Assicurati di installare una protezione affidabile su tutti i tuoi dispositivi Android, in modo da ricevere una notifica se un Trojan tenta di intrufolarsi nel tuo smartphone o tablet.
- Nella versione gratuita della nostra applicazione Kaspersky for Android, ricordati di eseguire periodicamente una scansione manuale del dispositivo e assicurati di effettuare una scansione antivirus dopo aver installato una nuova app e prima di avviarla per la prima volta.
- Nella versione a pagamento della nostra suite di protezione (che, per inciso, è inclusa con un abbonamento Kaspersky Standard, Kaspersky Plus o Kaspersky Premium, la scansione viene eseguita automaticamente, proteggendoti dalle app infette.