Il problema con l’app dannosa di Google Play colpisce 1,7 milioni di dispositivi in ​​più

Seguici

Le app non sono state rilevate da Google e dagli scanner antivirus.

Google Play , il repository ufficiale dell’azienda per le app Android, è stato nuovamente catturato ospitando app fraudolente e potenzialmente dannose, con la scoperta di oltre 56 app, molte delle quali per bambini, installate su quasi 1,7 milioni di dispositivi.

Tekya è una famiglia di malware che genera clic fraudolenti su annunci e banner forniti da agenzie tra cui AdMob, AppLovin ‘, Facebook e Unity di Google. Per dare ai clic l’aria di autenticità, il codice ben offuscato fa sì che i dispositivi infetti utilizzino il meccanismo “MotionEvent” di Android per imitare le azioni dell’utente legittimo. Nel momento in cui i ricercatori della società di sicurezza Check Point le hanno scoperte, le app non sono state rilevate da VirusTotal e Google Play Protect. Ventiquattro delle app che contenevano Tekya erano commercializzate per i bambini. Google ha rimosso tutte e 56 le app dopo che Check Point le ha segnalate.

La scoperta “sottolinea ancora una volta che il Google Play Store può ancora ospitare app dannose”, hanno scritto i ricercatori di Check Point Israel Wernik, Danil Golubenko e Aviran Hazum in un post pubblicato martedì . “Ci sono quasi 3 milioni di app disponibili nello store, con centinaia di nuove app caricate quotidianamente, il che rende difficile verificare che ogni singola app sia sicura. Pertanto, gli utenti non possono fare affidamento solo sulle misure di sicurezza di Google Play per garantire che i loro dispositivi siano protetti. “

Diventando nativo

Per rendere più difficile rilevare il comportamento dannoso, le app sono state scritte in codice Android nativo, in genere nei linguaggi di programmazione C e C ++. Le app Android di solito usano Java per implementare la logica. L’interfaccia di quel linguaggio offre agli sviluppatori la facilità di accedere a più livelli di astrazione. Il codice nativo, al contrario, è implementato a un livello molto più basso. Mentre Java può essere facilmente decompilato – un processo che converte i binari in codice sorgente leggibile dall’uomo – è molto più difficile farlo con il codice nativo.

Una volta installate, le app Tekya registrano un ricevitore broadcast che esegue più azioni, tra cui:

  • BOOT_COMPLETED per consentire l’esecuzione del codice all’avvio del dispositivo (avvio “a freddo”)
  • USER_PRESENT per rilevare quando l’utente sta attivamente utilizzando il dispositivo
  • QUICKBOOT_POWERON per consentire l’esecuzione del codice dopo il riavvio del dispositivo

L’unico scopo del destinatario è caricare la libreria nativa ‘libtekya.so’ nella cartella librerie all’interno del file .apk di ogni app. Il post Check Point fornisce dettagli molto più tecnici su come funziona il codice. I rappresentanti di Google hanno confermato che le app sono state rimosse da Play.

Ma aspetta . . . C’è più

Separatamente, il fornitore di antivirus Dr.Web martedì ha segnalato la scoperta di un numero sconosciuto di app Google Play , scaricate oltre 700.000 volte, che conteneva malware soprannominato Android.Circle.1. Il malware utilizzava il codice basato sul linguaggio di scripting BeanShell  e combinava sia funzioni adware che frodi sui clic. Il malware, che aveva 18 modifiche, poteva essere utilizzato per eseguire attacchi di phishing.

Il post Dr.Web non ha nominato tutte le app che contenevano Android.Circle.1. Le poche app identificate erano Wallpaper Black — Dark Background, Horoscope 2020 — Zodiac Horoscope, Sweet Meet, Cartoon Camera e Bubble Shooter. Google ha rimosso tutte le app segnalate da Dr.Web. Le 56 app scoperte da Check Point, nel frattempo, si trovano nel post di Check Point di martedì.

I dispositivi Android spesso disinstallano le app dopo che sono state rilevate come dannose, ma il meccanismo non funziona sempre come previsto. I lettori potrebbero voler controllare i propri dispositivi per vedere se sono stati infettati. Come sempre, i lettori dovrebbero essere altamente selettivi nelle app che installano. Senza dubbio, le scansioni di Google rilevano una grande percentuale di app dannose inviate a Play, ma un numero significativo di utenti continua a essere infettato da malware che supera questi controlli.

Segui il mio blog con bloglovin
Admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Solve : *
24 + 21 =