400 Trojan su Google Play

11 Ott 2016

Consigliamo spesso agli utenti di Android di scaricare app esclusivamente dagli store ufficiali delle app. È molto più sicuro cercare app su Google Play perché tutte le app nello store sono sottoposte a rigorosi controlli e approvazioni prima di essere finalmente pubblicate.

Ad ogni modo, a volte app pericolose si sono infiltrate su Google Play. In un grosso e recente incidente, più di 400 app su Google Play (e quasi 3000 in altri store di app) sono state tormentate dal Trojan DressCode.

400 Trojans on Google Play

Il malware prende questo divertente nome dal suo primo avvistamento: il Trojan è stato rilevato per la prima volta dai ricercatori ad agosto 2016, in una serie di app di dress-up, un tipo di app gioco pensato per le ragazze.

Uno di questi giochi è stato scaricato dalle 100.000 alle 500.000 volte da Google Play. Inoltre, si è scoperto che anche altre app sono state infette dallo stesso Trojan. In quel momento, sono state scoperte oltre 400 app infette, circa 40 di queste su Google Play. I ricercatori hanno informato Google e l’azienda ha eliminato le app pericolose dallo store.

Ma all’epoca un altro gruppo di ricercatori si era interessato al Trojan e ha deciso di indagare a fondo sulla questione e di cercare nei vari store delle app. Proprio un paio di giorni fa, il team ha scoperto circa 3.000 app infette da DressCode in una volta sola; oltre 400 di queste su Google Play.

Molte delle app infette sono giochi o app relazionate con i giochi (ad esempio, le app con consigli per i giocatori e le modifiche dei giochi). Tra le app pericolose c’erano una serie di miglioramento delle prestazioni, ottimizzatori e altri servizi pseudo utili.

 Il problema maggiore con DressCode è il fatto che sia difficile da rilevare. Il codice del Trojan è molto piccolo comparato al codice del suo programma “titolare”. È probabilmente per questo che molte app infette vengono approvate da Google e finiscono nel Google Play.

Cosa fa DressCode?

In generale, l’unico scopo di Dresscode è stabilire connessioni con un server command-and-control. In genere, una volta che si stabilisce la connessione, il server invia un ordine al Trojan, mettendolo a riposo e rendendo quindi quasi impossibile il rilevamento istantaneo. Quando un avversario decide di utilizzare un dispositivo infetto, possono svegliare il Trojan, trasformare uno smartphone o un tablet in un server proxy e utilizzarlo per reindirizzare il traffico di Internet.

Come traggono beneficio da tutto questo i cybercriminali?

In primo luogo, i dispositivi infetti possono essere utilizzati come una parte della botnet per guidare le richieste di certi indirizzi IP. Questo metodo consente ai criminali di incrementare il traffico, generare immagini scabrose sui banner, pagare le URL e organizzare gli attacchi DdoS per distruggere i siti web.

In secondo luogo, se un dispositivo infetto (uno smartphone aziendale) può accedere ad alcune risorse di rete locali, gli aggressori ottengono l’accesso anche a questi e sono in grado di utilizzare il dispositivo per rubare dati sensibili.

Come evito di far parte di una botnet?

È molto raro che questo avvenga quando il nostro consiglio di sempre (scaricare app solo dagli store ufficiali) non basta. È vero, Google Play dispone di un livello molto più basso di applicazioni dannose, comparandolo con altri store Android, ma 400 app infette tutte insieme sono tante. Inoltre, includono grandi successi come Minegraft “GTA 5” (sì, esiste sul serio), che è stata scaricata più di 500.000 volte.

Quindi ridurremo la solita lista dei consigli a solo due:

1. Prestate attenzione quando scaricate le app. Prima di installare un’app sconosciuta, controllate le opinioni degli utenti, guardate la sua lista dei permessi e pensateci un po’. Sfortunatamente, non potete fidarvi di tutte le recensioni di Google Play, ma almeno vi possono dare qualche idea sull’affidabilità di un’app.

 2. Installate una buona soluzione di sicurezza sui vostri dispositivi mobili. Kaspersky Antivirus & Security for Android rileva DressCode come HEUR:Backdoor.AndroidOS.Sobot.a. Se avviate una versione a pagamento della nostra soluzione, scansionerà automaticamente tutte le nuove app e bloccherà qualsiasi programma relazionato a DressCode dal vostro dispositivo. Se avete installato una versione gratuita, non dimenticate di scansionare regolarmente il vostro dispositivo.