Google rimuove 17 app Android scoperte durante frodi sulla fatturazione WAP

Google rimuove 17 app Android scoperte durante frodi sulla fatturazione WAP

Google ha rimosso questa settimana 17 applicazioni Android dal Play Store ufficiale. Le 17 app, individuate dai ricercatori di sicurezza di Zscaler, sono state infettate dal malware Joker (noto anche come Bread).

"Questo spyware è progettato per rubare messaggi SMS, elenchi di contatti e informazioni sui dispositivi, oltre alla registrazione silenziosa della vittima per i servizi WAP (Wireless Application Protocol) premium", ha detto questa settimana Viral Gandhi, ricercatore di sicurezza di Zscaler.

Le 17 app dannose sono state caricate sul Play Store questo mese e non hanno avuto la possibilità di ottenere un seguito, essendo state scaricate più di 120.000 volte prima di essere rilevate.

I nomi delle 17 app erano:

  • All Good PDF Scanner
  • Mint Leaf Message-Your Private Message
  • Unique Keyboard - Fancy Fonts & Free Emoticons
  • Tangram App Lock
  • Direct Messenger
  • Private SMS
  • One Sentence Translator - Multifunctional Translator
  • Style Photo Collage
  • Meticulous Scanner
  • Desire Translate
  • Talent Photo Editor - Blur focus
  • Care Message
  • Part Message
  • Paper Doc Scanner
  • Blue Scanner
  • Hummingbird PDF Converter - Photo to PDF
  • All Good PDF Scanner

Seguendo le proprie procedure interne, Google ha rimosso le app dal Play Store, ha utilizzato il servizio Play Protect per disabilitare le app sui dispositivi infetti, ma gli utenti devono comunque intervenire manualmente e rimuovere le app dai propri dispositivi.

JOKER È LA ROVINA DEL PLAY STORE

Ma questa recente rimozione segna anche la terza azione del genere da parte del team di sicurezza di Google contro un lotto di app infette da Joker negli ultimi mesi.

Google ha rimosso sei di queste app all'inizio del mese dopo che sono state individuate e segnalate dai ricercatori di sicurezza di  Pradeo.

Prima di allora, a luglio, Google ha rimosso un altro lotto di app infette da Joker scoperte dai ricercatori di sicurezza di  Anquanke . Questo lotto era attivo da marzo ed era riuscito a infettare milioni di dispositivi.

Il modo in cui queste app infette di solito riescono a farsi strada oltre le difese di Google e raggiungere il Play Store è attraverso una tecnica chiamata " dropper ", in cui il dispositivo della vittima viene infettato in un processo in più fasi.

La tecnica è abbastanza semplice, ma difficile da difendere, dal punto di vista di Google.

Gli autori di malware iniziano clonando la funzionalità di un'app legittima e caricandola sul Play Store. Questa app è completamente funzionante, richiede l'accesso a autorizzazioni pericolose, ma non esegue alcuna azione dannosa quando viene eseguita per la prima volta.

Poiché le azioni dannose sono generalmente ritardate di ore o giorni, le scansioni di sicurezza di Google non rilevano il codice dannoso e Google di solito consente all'app di essere elencata nel Play Store.

Ma una volta sul dispositivo di un utente, l'app alla fine scarica e "rilascia" (da qui il nome dropper, o caricatori) altri componenti o app sul dispositivo che contengono il malware Joker o altri ceppi di malware.

La famiglia Joker, che Google rintraccia internamente come Bread, è stata uno degli utenti più accaniti della tecnica del contagocce. Questo, a sua volta, ha permesso a Joker di arrivare sul Play Store, il Santo Graal della maggior parte delle operazioni di malware, più di molti altri gruppi di malware.

A gennaio, Google ha pubblicato un  post sul blog in  cui descriveva Joker come una delle minacce più persistenti e avanzate che ha affrontato negli ultimi anni. Google ha affermato che i suoi team di sicurezza hanno rimosso  più di 1.700 app  dal Play Store dal 2017.

Ma Joker è molto più diffuso di così, essendo presente anche nelle app caricate su app store Android di terze parti.

Tutto sommato, Anquanke ha affermato di aver rilevato più di 13.000 campioni di Joker da quando il malware è stato scoperto per la prima volta nel dicembre 2016.

Proteggersi da Joker è difficile, ma se gli utenti mostrano un po 'di cautela durante l'installazione di app con autorizzazioni ampie, possono evitare di essere infettati.

IN ALTRE NOTIZIE SULLA SICUREZZA ANDROID

Bitdefender ha segnalato una serie di app dannose al team di sicurezza di Google. Alcune di queste app sono ancora disponibili sul Play Store. Bitdefender non ha rivelato il nome delle app, ma solo i nomi degli account sviluppatore da cui sono state caricate. Gli utenti che hanno installato app da questi sviluppatori dovrebbero rimuoverle immediatamente.

  • Nouvette
  • Piastos 
  • Progster 
  • imirova91 
  • StokeGroove 
  • VolkavStune 

ThreatFabric ha anche pubblicato un rapporto sulla  scomparsa del  malware Cerberus e  l'ascesa del malware Alien, che contiene funzionalità per rubare le credenziali per 226 applicazioni.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.