28 Settembre 2020 - Tempo di lettura: 15 minuti
Google ha rimosso questa settimana 17 applicazioni Android dal Play Store ufficiale. Le 17 app, individuate dai ricercatori di sicurezza di Zscaler, sono state infettate dal malware Joker (noto anche come Bread).
"Questo spyware è progettato per rubare messaggi SMS, elenchi di contatti e informazioni sui dispositivi, oltre alla registrazione silenziosa della vittima per i servizi WAP (Wireless Application Protocol) premium", ha detto questa settimana Viral Gandhi, ricercatore di sicurezza di Zscaler.
Le 17 app dannose sono state caricate sul Play Store questo mese e non hanno avuto la possibilità di ottenere un seguito, essendo state scaricate più di 120.000 volte prima di essere rilevate.
I nomi delle 17 app erano:
Seguendo le proprie procedure interne, Google ha rimosso le app dal Play Store, ha utilizzato il servizio Play Protect per disabilitare le app sui dispositivi infetti, ma gli utenti devono comunque intervenire manualmente e rimuovere le app dai propri dispositivi.
Ma questa recente rimozione segna anche la terza azione del genere da parte del team di sicurezza di Google contro un lotto di app infette da Joker negli ultimi mesi.
Google ha rimosso sei di queste app all'inizio del mese dopo che sono state individuate e segnalate dai ricercatori di sicurezza di Pradeo.
Prima di allora, a luglio, Google ha rimosso un altro lotto di app infette da Joker scoperte dai ricercatori di sicurezza di Anquanke . Questo lotto era attivo da marzo ed era riuscito a infettare milioni di dispositivi.
Il modo in cui queste app infette di solito riescono a farsi strada oltre le difese di Google e raggiungere il Play Store è attraverso una tecnica chiamata " dropper ", in cui il dispositivo della vittima viene infettato in un processo in più fasi.
La tecnica è abbastanza semplice, ma difficile da difendere, dal punto di vista di Google.
Gli autori di malware iniziano clonando la funzionalità di un'app legittima e caricandola sul Play Store. Questa app è completamente funzionante, richiede l'accesso a autorizzazioni pericolose, ma non esegue alcuna azione dannosa quando viene eseguita per la prima volta.
Poiché le azioni dannose sono generalmente ritardate di ore o giorni, le scansioni di sicurezza di Google non rilevano il codice dannoso e Google di solito consente all'app di essere elencata nel Play Store.
Ma una volta sul dispositivo di un utente, l'app alla fine scarica e "rilascia" (da qui il nome dropper, o caricatori) altri componenti o app sul dispositivo che contengono il malware Joker o altri ceppi di malware.
La famiglia Joker, che Google rintraccia internamente come Bread, è stata uno degli utenti più accaniti della tecnica del contagocce. Questo, a sua volta, ha permesso a Joker di arrivare sul Play Store, il Santo Graal della maggior parte delle operazioni di malware, più di molti altri gruppi di malware.
A gennaio, Google ha pubblicato un post sul blog in cui descriveva Joker come una delle minacce più persistenti e avanzate che ha affrontato negli ultimi anni. Google ha affermato che i suoi team di sicurezza hanno rimosso più di 1.700 app dal Play Store dal 2017.
Ma Joker è molto più diffuso di così, essendo presente anche nelle app caricate su app store Android di terze parti.
Tutto sommato, Anquanke ha affermato di aver rilevato più di 13.000 campioni di Joker da quando il malware è stato scoperto per la prima volta nel dicembre 2016.
Proteggersi da Joker è difficile, ma se gli utenti mostrano un po 'di cautela durante l'installazione di app con autorizzazioni ampie, possono evitare di essere infettati.
Bitdefender ha segnalato una serie di app dannose al team di sicurezza di Google. Alcune di queste app sono ancora disponibili sul Play Store. Bitdefender non ha rivelato il nome delle app, ma solo i nomi degli account sviluppatore da cui sono state caricate. Gli utenti che hanno installato app da questi sviluppatori dovrebbero rimuoverle immediatamente.
ThreatFabric ha anche pubblicato un rapporto sulla scomparsa del malware Cerberus e l'ascesa del malware Alien, che contiene funzionalità per rubare le credenziali per 226 applicazioni.