{"id":28186,"date":"2023-11-17T18:04:16","date_gmt":"2023-11-17T16:04:16","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=28186"},"modified":"2023-11-17T18:04:16","modified_gmt":"2023-11-17T16:04:16","slug":"malware-in-google-play-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/malware-in-google-play-2023\/28186\/","title":{"rendered":"Il malware in Google Play supera i 600 milioni di download nel 2023"},"content":{"rendered":"

Gli utenti tendono a pensare che sia sicuro installare app da Google Play. Dopotutto, \u00e8 il pi\u00f9 ufficiale di tutti gli store ufficiali per Android e tutte le app sono accuratamente controllate dai moderatori di Google, no?<\/p>\n

Occorre tuttavia tenere presente che Google Play ospita pi\u00f9 di tre milioni di app diverse<\/a>, la maggior parte delle quali viene aggiornata regolarmente, e che il loro esame approfondito (e intendiamo davvero<\/em> approfondito) va oltre le risorse anche di una delle pi\u00f9 grandi aziende del mondo.<\/p>\n

Ben consapevoli di questo, i produttori di app dannose hanno sviluppato una serie di tecniche per infiltrare le loro creazioni in Google Play. In questo post esaminiamo i casi pi\u00f9 clamorosi del 2023 relativi ad app dannose presenti nello store ufficiale di Android, con un numero totale di download superiore a 600 milioni. Iniziamo!<\/p>\n

50.000 download: l\u2019app iRecorder infetta intercetta gli utenti<\/h2>\n

Cominciamo con il caso di iRecorder, piuttosto secondario, ma interessante e molto esemplificativo. Questa app di registrazione dello schermo per smartphone Android, che non ha nulla di particolare, \u00e8 stata caricata in Google Play nel settembre 2021.<\/p>\n

Ma successivamente, nell\u2019agosto 2022, i suoi sviluppatori hanno aggiunto alcune funzionalit\u00e0 dannose: il codice del Trojan di accesso remoto AhMyth, che faceva s\u00ec che gli smartphone di tutti gli utenti che avevano installato l\u2019app registrassero l\u2019audio dal microfono ogni 15 minuti e lo inviassero al server dei creatori dell\u2019app. Quando i ricercatori hanno scoperto il malware<\/a> nel maggio 2023, l\u2019app iRecorder era stata scaricata pi\u00f9 di 50.000 volte.<\/p>\n

Questo esempio illustra uno dei modi in cui le app dannose si insinuano in Google Play. Inizialmente, i cybercriminali caricano nello store un\u2019app innocua che garantisce il superamento di tutti i controlli di moderazione. In seguito, quando l\u2019app si \u00e8 creata un pubblico e una sorta di reputazione (cosa che pu\u00f2 richiedere mesi o perfino anni), viene ampliata con funzionalit\u00e0 dannose in un successivo aggiornamento caricato in Google Play.<\/p>\n

620.000 download: Trojan Fleckpe per l\u2019abbonamento a servizi a pagamento<\/h2>\n

Sempre nel maggio 2023, i nostri esperti hanno scoperto che diverse app in Google Play<\/a> sono state infettate dal Trojan Fleckpe, che esegue segretamente l\u2019abbonamento a servizi a pagamento. A quel punto, erano gi\u00e0 state eseguite 620.000 installazioni. \u00c8 interessante notare che queste app sono state caricate da diversi sviluppatori. Questa \u00e8 un\u2019altra tattica comune. I cybercriminali creano numerosi account per sviluppatori nello store: in tal modo, anche se alcuni vengono bloccati dai moderatori, possono semplicemente caricare un\u2019app simile su un altro account.<\/p>\n

\"App

App su Google Play infettate dal Trojan Fleckpe per l\u2019abbonamento a servizi a pagamento<\/p><\/div>\n

Quando l\u2019app infetta veniva eseguita, il payload dannoso principale veniva scaricato nello smartphone della vittima, dopodich\u00e9 il Trojan si connetteva al server di comando e controllo e trasferiva le informazioni sul paese e sull\u2019operatore di telefonia mobile. Sulla base di queste informazioni, il server forniva istruzioni su come procedere. Fleckpe apriva quindi pagine Web con abbonamenti a pagamento in una finestra del browser invisibile all\u2019utente e, intercettando i codici di conferma dalle notifiche in arrivo, iscriveva l\u2019utente a servizi a pagamento inutili tramite l\u2019account dell\u2019operatore di telefonia mobile.<\/p>\n

1,5 milioni di download: spyware cinese<\/h2>\n

Nel luglio 2023, \u00e8 stato scoperto che Google Play ospitava<\/a> due file manager: uno con un milione di download, l\u2019altro con mezzo milione. Nonostante le assicurazioni degli sviluppatori in merito al fatto che le app non eseguivano alcuna raccolta di dati, i ricercatori hanno scoperto che entrambe trasmettevano molte informazioni sull\u2019utente a server in Cina, inclusi contatti, geolocalizzazione in tempo reale, dati sul modello di smartphone e sulla rete cellulare, foto, audio, file video e altro ancora.<\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\"File

File manager su Google Play che nascondono spyware cinese. Fonte\u00a0<\/a><\/p><\/div>\n

Per evitare di essere disinstallate dall\u2019utente, le app infette nascondevano le proprie icone, un\u2019altra tattica comune utilizzata dai creatori di malware per i dispositivi mobili.<\/p>\n

2,5 milioni di download: adware in background<\/h2>\n

In un recente caso di rilevamento di malware su Google Play nell\u2019agosto 2023, i ricercatori hanno individuato<\/a> ben 43 app (tra cui lettori TV\/DMB, downloader di musica, notizie e calendario) che caricavano segretamente annunci quando lo schermo dello smartphone dell\u2019utente era spento.<\/p>\n

\"App

Alcune delle app con adware nascosto. Fonte<\/a><\/p><\/div>\n

Per poter svolgere la propria attivit\u00e0 in background, le app richiedevano all\u2019utente di aggiungerle all\u2019elenco delle esclusioni per il risparmio energetico. Naturalmente, gli utenti interessati riscontravano una riduzione della durata della batteria. Queste app hanno avuto un totale complessivo di 2,5 milioni di download e il pubblico di destinazione era principalmente coreano.<\/p>\n

20 milioni di download: app fraudolente che promettono premi<\/h2>\n

Uno studio pubblicato all\u2019inizio del 2023 ha rivelato diverse app fraudolente<\/a> su Google Play con oltre 20 milioni di download. Posizionandosi principalmente come sistemi di monitoraggio delle condizioni di salute, promettevano agli utenti premi in denaro per le passeggiate e altre attivit\u00e0, nonch\u00e9 per la visualizzazione di annunci pubblicitari o l\u2019installazione di altre app.<\/p>\n

\"App

App su Google Play che promettono premi per le passeggiate e la visualizzazione di annunci. Fonte<\/a><\/p><\/div>\n

Pi\u00f9 precisamente, all\u2019utente venivano assegnati dei punti per queste azioni, che avrebbero poi potuto essere convertiti in denaro reale. L\u2019unico problema era che, per ottenere un premio, era necessario accumulare un numero cos\u00ec elevato di punti che risultava di fatto impossibile.<\/p>\n

35 milioni di download: cloni di Minecraft con adware all\u2019interno<\/h2>\n

Quest\u2019anno Google Play ha ospitato anche giochi dannosi: il principale colpevole (e non \u00e8 la prima volta<\/a>) \u00e8 stato Minecraft, ancora uno dei titoli pi\u00f9 popolari al mondo. Nell\u2019aprile 2023 sono stati rilevati 38 cloni di Minecraft<\/a> nello store ufficiale di Android, con un totale di 35 milioni di download. All\u2019interno di queste app era nascosto un adware chiamato, in modo abbastanza appropriato, HiddenAds.<\/p>\n

\"Clone

Block Box Master Diamond: il pi\u00f9 popolare dei cloni di Minecraft infettati da HiddenAds. Fonte<\/a><\/p><\/div>\n

Quando le app infette venivano avviate, \u201cvisualizzavano\u201d annunci nascosti all\u2019insaputa dell\u2019utente. Ci\u00f2 non rappresentava una grave minaccia di per s\u00e9, ma tale comportamento poteva influire sulle prestazioni del dispositivo e sulla durata della batteria.<\/p>\n

Inoltre, tali app infette potevano sempre essere seguite da uno schema di monetizzazione molto meno innocuo. Questa \u00e8 un\u2019altra tattica standard dei creatori di app malware per Android: passano facilmente da un tipo di attivit\u00e0 dannosa all\u2019altra, a seconda di quello che \u00e8 pi\u00f9 redditizio in un dato momento.<\/p>\n

100 milioni di download: raccolta di dati e frodi mediante clic<\/h2>\n

Sempre nell\u2019aprile 2023, in Google Play sono state individuate altre 60 app<\/a> infette da un adware che i ricercatori hanno soprannominato Goldoson. Queste app hanno avuto complessivamente pi\u00f9 di 100 milioni di download in Google Play e altri otto milioni nel popolare app store coreano ONE Store<\/a>.<\/p>\n

Questo malware \u201cvisualizzava\u201d anche annunci nascosti aprendo pagine Web all\u2019interno dell\u2019app in background. Inoltre, le app dannose raccoglievano i dati dell\u2019utente, comprese informazioni sulle app installate, la geolocalizzazione, gli indirizzi dei dispositivi connessi allo smartphone tramite Wi-Fi e Bluetooth e altro ancora.<\/p>\n

Sembra che Goldoson sia entrato in tutte queste app insieme a una libreria infetta utilizzata da molti sviluppatori legittimi che semplicemente non erano consapevoli del fatto che contenesse funzionalit\u00e0 dannose. Questo non \u00e8 un caso isolato: spesso i creatori di malware non sviluppano e pubblicano direttamente app su Google Play, ma creano librerie infette di questo tipo che finiscono nello store insieme alle app di altri sviluppatori.<\/p>\n

451 milioni di download: annunci di minigiochi e raccolta di dati<\/h2>\n

Chiudiamo con il pi\u00f9 importante caso dell\u2019anno: nel maggio 2023, un team di ricercatori ha individuato<\/a> in Google Play ben 101 app non idonee, con un numero totale di download pari a 421 milioni. In ognuna di esse era nascosta una libreria di codice denominata SpinOk.<\/p>\n

Poco dopo, un altro team di ricercatori ha scoperto in Google Play altre 92 app<\/a> che includevano la stessa libreria SpinOk, con un numero di download leggermente pi\u00f9 modesto: 30 milioni. In tutto, sono state trovate quasi 200 app contenenti il codice SpinOK, con un totale di 451 milioni di download da Google Play.Questo \u00e8 un altro caso in cui codice pericoloso \u00e8 stato inserito nelle applicazioni da una libreria di terze parti.<\/p>\n

\"Minigiochi

Minigiochi che promettevano \u201cpremi\u201d e mostravano agli utenti applicazioni contenenti il codice SpinOk Fonte<\/a><\/p><\/div>\n

In apparenza, il compito delle app era quello di visualizzare minigiochi invadenti che promettevano premi in denaro. Ma non era tutto: la libreria SpinOK aveva la capacit\u00e0 di raccogliere e inviare in background dati e file dell\u2019utente al server di comando e controllo dei suoi sviluppatori.<\/p>\n

Come proteggersi dai malware in Google Play<\/h2>\n

Naturalmente, non abbiamo trattato tutti i casi di applicazioni dannose che sono arrivate su Google Play nel 2023, ma solo i pi\u00f9 eclatanti. La principale conclusione di questo post \u00e8: il malware in Google Play \u00e8 molto pi\u00f9 comune di quanto chiunque di noi potrebbe pensare. Le app infette hanno fatto registrare un numero totale di download superiore a mezzo miliardo!<\/p>\n

Tuttavia, gli store ufficiali rimangono di gran lunga le fonti pi\u00f9 sicure. Scaricare app altrove \u00e8 molto pi\u00f9 pericoloso, motivo per cui lo sconsigliamo vivamente<\/a>. Tuttavia, \u00e8 necessario prestare attenzione anche negli store ufficiali:<\/p>\n