Ci risiamo, Android è diventato oggetto di un nuovo attacco malware che si sta diffondendo sul Google Play Store.
Come ricorda Microsoft, il malware abbona gli utenti a servizi a pagamento a loro insaputa utilizzando una tecnica tanto semplice quanto efficace. Come proteggersi?
Dimitrios Valsamaras e Sang Shin Jung sono due ricercatori per la sicurezza di Microsoft che in un recente rapporto hanno dettagliato l'incessante avanzamento e l'evoluzione dei malware Android di tipo "toll fraud". Secondo il team di ricerca, il malware rientra nella sottocategoria della frode su fatturazione "in cui le applicazioni dannose abbonano gli utenti a servizi premium a loro insaputa o senza il loro consenso". "È uno dei tipi di malware Android più diffusi", continuano.
Questa categoria di malware è molto pericolosa in quanto agisce nell'ombra. Con alcuni stratagemmi disabilita la connettività Wi-Fi degli smartphone Android (o convince l'utente a collegarsi alla rete dati) e sfrutta la rete WAP (Wireless Application Protocol) per attivare diversi servizi premium in abbonamento. Non solo, il software malevolo è anche in grado di nascondere le notifiche ricevute contenenti i codici OTP di verifica dell'identità in modo da mantenere segreti questi abbonamenti.
L'attacco avviene dal Google Play Store
Nonostante i moltissimi sistemi di sicurezza messi in piedi da Google per evitare che il malware si diffonda sul Play Store, gli aggressori stanno diventando con il tempo sempre più abili. Le ricerche hanno mostrato che il malware rappresenta il 34,8% delle "applicazioni potenzialmente dannose" (PHA) installate dal Google Play Store nel primo trimestre del 2022, secondo solo agli spyware.
Queste app trojan sono solitamente elencate nelle categorie più popolari dello store, come ad esempio "Personalizzazione" (app per sfondi e lockscreen), "Bellezza", "Editor", "Comunicazione" (app di messaggistica e chat), "Fotografia" e "Strumenti" (come le app di pulizia e i falsi antivirus). Solitamente queste app richiedono autorizzazioni che non hanno senso per ciò che dovrebbero fare, ad esempio un'app per la fotocamera o per gli sfondi che chiede i privilegi di lettura degli SMS o delle notifiche.
Lo scopo di queste app è quello di essere scaricate dal maggior numero di utenti possibili, operando secondo il seguente schema:
- Pubblicare un'app senza malware in modo da alzare il numero dei download
- Aggiornare l'app in modo che carichi dinamicamente il codice malevolo
- Mantenere il codice malevolo separato dall'app principale in modo da non farsi individuare per la maggior parte del tempo possibile
Come proteggersi?
Valsamaras e Shin Jung affermano che il potenziale malware presente nel Google Play Store ha caratteristiche comuni che si possono notare prima di scaricare un'applicazione. Come già detto, alcune app richiedono permessi eccessivi per azioni che normalmente non richiederebbero tali privilegi, ad esempio una calcolatrice che chiede di avere accesso alle telefonate. Altre caratteristiche da tenere d'occhio sono le app cloni di altri software di successo, i profili degli sviluppatori che sembrano falsi o con una grammatica scadente e se l'app ha una serie di recensioni negative.
Se si ritiene di aver già scaricato un'app potenzialmente malevola, alcuni segnali comuni sono il rapido esaurimento della batteria, problemi di connettività, surriscaldamento costante o il funzionamento del dispositivo molto più lento del normale. La coppia ha anche avvertito di non eseguire il sideloading di applicazioni che non possono essere scaricate ufficialmente dal Google Play Store, in quanto ciò può aumentare il rischio di infezione.
In caso vogliate essere sicuri al 100%, ecco la nostra guida ai migliori antivirus per Android, i quali vi possono aiutare a scovare le infezioni più comuni: