ExpensiveWall e gli altri (troppi) malware del Google Play Store

Le app pubblicate nel Google Play Store sono realmente sicure? Sebbene Google sia all’avanguardia sul fronte sicurezza, vi è la concreta possibilità che sviluppatori di malware riescano ad eludere i controlli del gigante statunitense riuscendo a pubblicare nello store ufficiale codici malevoli che quindi infettano milioni di ignari utenti. Google ha rimosso di recente ben 50 applicazioni dannose dal Google Play Store proprio a seguito della segnalazione degli esperti di Check Point. Le applicazioni erano state infettate da un malware soprannominato ExpensiveWall, che ha eluso i controlli di Google Bouncer.

Dove è stato scovato il codice dannoso

Il malware ExpensiveWall è stato trovato nell’app Lovely Wallpaper e include un codice dannoso che registra le vittime a costosi servizi SMS premium, per intenderci quei servizi che vi detraggono molto credito per ciascun SMS inviato. Il codice dannoso è stato scoperto in 50 app presenti nel Play Store che sono state scaricate da un numero di utenti compreso tra 1 milione e 4,2 milioni.

Messaggi SMS fraudolenti

“Il team di ricerca di Check Point ha identificato una nuova variante di un malware Android che invia messaggi SMS fraudolenti e addebita agli account degli utenti i costosi servizi senza che ne siano a conoscenza” si legge nell’analisi condivisa dai ricercatori di Check Point. “Il nuovo ceppo di malware viene soprannominato ExpensiveWall, proprio perché una della applicazioni infettate è Lovely Wallpaper”.

Crittografia e codice compresso

Il malware non è completamente nuovo alla comunità di esperti, ExpensiveWall sembra essere una variante di un malware scoperto dagli esperti di McAfee in gennaio. Anche in quella occasione l’app malevole è stata trovata nel Google Store, tuttavia le due app presentano differenze significative. Questa volta, gli autori dell’applicazione ExpensiveWall per superare i controlli di sicurezza di Google hanno fanno ampio uso della crittografia ed hanno compresso il codice del malware.

Come si è diffuso e come agisce

Una volta che l’applicazione viene installata dalle vittime, richiede l’autorizzazione ad accedere a Internet e inviare e ricevere messaggi SMS. Quindi, ExpensiveWall invia al server di controllo le informazioni sul dispositivo infettato, compresa la sua posizione, gli indirizzi MAC e IP, ed i codici identificativi IMSI e IMEI. Il server C&C, a sua volta, invia al malware un URL che viene aperta nel browser WebView presente sul dispositivo per scaricare il codice JavaScript utilizzato per inviare i messaggi SMS premium. Secondo i ricercatori del Check Point, il codice maligno è stato diffuso in applicazioni diverse sotto forma di un kit di sviluppo software denominato GTK.

Feedback negativi

Check Point ha riportato la scoperta a Google il 7 agosto 2017 e la società ha subito rimosso le applicazioni dannose dal Google Play Store. Purtroppo anche dopo che le applicazioni interessate sono state rimosse dal Play Store, nei giorni successivi un altro campione è stato individuato nel Google Play Store, questa volta infettando più di 5.000 dispositivi prima di essere rimosso quattro giorni più tardi. Gli esperti sono contrariati,

Google non solo ha fallito nei controlli ma ha persino ignorato i numerosi avvertimenti sulla potenziale infezione pubblicati dagli utenti che hanno scaricato le applicazioni

Nella sezione commenti di una delle applicazioni infette erano infatti presenti un gran numero di feedback negativi da parte di utenti arrabbiati che hanno notato il comportamento dannoso.

Non solo ExpensiveWall…

Purtroppo questo tipo di inconvenienti stanno diventando frequenti, nel mese di giugno due volte in un mese Google ha rimosso applicazioni pericolose infettate dai Trojan di Ztorg che hanno permesso ai criminali di controllare i dispositivi delle vittime. Nel mese di aprile, milioni di utenti che cercavano di ottenere aggiornamenti software hanno scaricato dallo store ufficiale un’applicazione che nascondeva uno spyware chiamato SMSVova. È stato stimato che la falsa applicazione contenente lo spyware SMSVova è stata presente per anni nel Google Play senza essere scoperta, addirittura dal 2014, ed è stata scaricata da un numero di utenti compreso tra i 1.000.000 ed i 5.000.000.
Concludendo, è evidente che Google debba migliorare i propri controlli per evitare ulteriori incidenti, ma vi invito ad installare solo e sempre le applicazioni che sono realmente necessarie prestando attenzione ai permessi che vi richiedono.