Il team di Threat Intelligence Check Point Research ha identificato due nuove minacce, entrambe rivolte contro utenti di Google Play Store e Android.
In entrambi i casi gli hacker scelgono le librerie di terze parti o i componenti open source che compongono un’applicazione per fornire malware agli ignari utenti delle app. Da un punto di vista criminale, colpire una società infettando uno dei componenti della catena di fornitura è molto allettante e molto più facile che colpire direttamente l’organizzazione stessa.
Questa campagna ha giaà generato quasi 150 milioni di download di 206 app infette presenti sul Google Play Store.
La campagna SimBad, così denominata in quanto gran parte delle applicazioni infette sono simulatori, rende fastidioso l’uso di smartphone. Infatti, si iniziano a ricevere pubblicità sgradite, oltre a non poter neppure disinstallare le app maligne.
Tutte le app infette utilizzano un SDK malevolo per eseguire le loro operazioni. Sebbene siano disponibili altri SDK per la monetizzazione delle app, gli sviluppatori di giochi hanno scelto di utilizzare un SDK a loro vantaggio, visualizzando un numero molto più elevato di annunci per aumentare i loro profitti.
Ecco cosa prevede il comportamento malevolo delle app:
– Mostrare annunci al di fuori dell’applicazione, ad esempio quando l’utente sblocca il proprio telefono o utilizza altre app.
– Apertura costante di Google Play o 9Apps Store e reindirizzamento a un’altra particolare applicazione, in modo che lo sviluppatore possa trarre vantaggio da installazioni aggiuntive.
– Nascondere la relativa icona dal programma di avvio per impedire la disinstallazione.
– Apertura di un browser Web con collegamenti forniti dallo sviluppatore dell’app.
– Download di file APK e richiesta all’utente di installarli.
– Ricerca di una parola fornita dall’app in Google Play.
Un’altra recente scoperta realizzata dal team di ricerca di Check Point Software Technologies riguarda un gruppo di applicazioni Android che nascondono malware all’interno dell’SDK di monetizzazione, denominato SWAnalytics, che è stato inserito in applicazioni Android apparentemente innocue e pubblicate nei principali app store cinesi di terze parti. Una volta installata l’app, SWAnalytics segnala alle vittime l’apertura di un’applicazione infetta o riavvia i loro telefoni, appropriandosi in modo silenzioso dell’elenco dei contatti che vengono inviati a un server remoto.
Check Point Software Technologies rileva che al momento le applicazioni infette sono 12, la maggior parte delle quali sono app di utilità di sistema, e che sono già state scaricate ben 111 milioni di volte. Questo significa che il malintenzionato potrebbe aver già raccolto i contatti e i numeri di un terzo dell’intera popolazione cinese.
Tali dati potrebbero essere già presenti nei mercati del “dark web” per ulteriori exploit, come casi di marketing illecito, truffe telefoniche mirate o abuso di programmi di referral.
