Quanto è sicuro Google Play? Non abbastanza per tenerci al sicuro da tutte le potenziali minacce, ma si sa che è il prezzo da pagare per avere un ambiente di sviluppo libero. Quando, però, ci si imbatte in casi come quello di Cowboy Adventure, qualche domanda in più sorge spontanea.
Questo gioco, realizzato tramite la famosa piattaforma di sviluppo "Platformer 2D", è rimasto su Google Play per circa 4 mesi ed è stato scaricato da un numero di utenti compreso tra il mezzo milione e il milione. Il motivo per cui è diventato così famoso è che usava Facebook per pubblicizzarsi, a insaputa dei proprietari degli account.
Tramite una schermata in cui chiedeva all'utente di inserire le credenziali del famoso social network, la app recuperava tutta la lista degli amici degli utenti e la usava per spargere post in cui consigliava di scaricare il gioco, alimentando la sua diffusione.
Ricordiamo che nessuna app ha bisogno di chiedervi le credenziali di accesso a Facebook, perché tramite una interfaccia dedicata chiamata OAuth, possono ricevere l'autorizzazione a interagire con il social network, chiedendo il permesso all'utente, ma senza fargli inserire la password.
Curiosamente, come scopeto dai ricercatori di Trustlook, il malware era progettato per attivarsi solo con utenti residenti fuori dal Nord America.
Quando il gioco veniva lanciato, infatti, inviava una comunicazione al suo server di controllo. Questi, a seconda della località associata all'ip da cui arrivava la richiesta, rispondeva in due modi. Se la app era stata eseguita sul territorio statunitense o canadese, il risultato era questo:
Se invece la richiesta era fatta passare da un proxy collocato fuori dal Nord America, la stringa di risposta cambiava:
La differenza sta tutta in uno "0" che si trasforma in un "1" dopo la voce "LoginEnable" e che attiva la richiesta di identificarsi su Facebook prima di lanciare il gioco.
Come si vede dal codice seguente, decifrato sempre dai ricercatori di Trustlook, dopo aver ricevuto indirizzo email e password dell'account Facebook dell'utente, il malware lo inviava al suo server di controllo.
A questo punto, non si sa come i dati vengano usati, ma probabilmente uno script sul server si occupava di raccogliere tutti gli identificativi degli amici e inviare un messaggio per promuovere il gioco stesso.
Un dettaglio preoccupante è che i ricercatori di Trustlook hanno provato a inviare a Virustotal il file del gioco e, secondo il sito web, NESSUN antivirus lo ha rilevato come potenziale minaccia. Anzi, in fondo all'analisi campeggiava un "Probabilmente innocuo, ci sono forti indizi che il file in questione sia sicuro".
Ma com'è possibile che un malware sia in grado di ingannare tutti?
I ricercatori di Trustlook hanno fatto qualche ipotesi sul perché una minaccia così palese non sia stata identificata prima.
Innanzitutto, il malware vero e proprio è stato programmato usando Mono, una versione Open Source della piattaforma di sviluppo .net. Questa piattaforma è usata ancora pochissimo in ambito mobile e quindi c'è l'esperienza dei produttori di antivirus è ancora limitata.
Inoltre, il phishing è difficile da identificare a livello automatico. Una pagina di phishing non ha nulla di diverso rispetto a una normale pagina di identificazione. Il fatto che il malware non dovesse attivarsi in caso di richieste dagli USA fa bene intendere a chi volevano sfuggire durante i controlli...
Infine, alcuni produttori di antivirus si sono fidati troppo di Google Play. Il fatto che questa app fosse molto scaricata e che fosse online da tempo ha sicuramente falsato alcuni dei meccanismi di analisi automatica degli antivirus mobile.
La morale? Tenere gli occhi aperti, sempre. In questo caso, il danno era molto limitato e per questo non ha dato molto nell'occhio, ma il fatto che chiedesse la password per usare Facebook avrebbe dovuto mettere sul chi vive molti utenti. E invece...