Il Check Point Research, il team di Threat Intelligence di Check Point Software Technologies ha fatto de nuove scoperte.
Queste scoperte hanno un minimo comune denominatore: in entrambi i casi gli hacker scelgono le librerie di terze parti o i componenti open source che compongono un’applicazione per fornire malware agli ignari utenti delle app. Da un punto di vista criminale, colpire una società infettando uno dei componenti della catena di fornitura è molto allettante e molto più facile che colpire direttamente l’organizzazione stessa.
Recentemente Check Point Software Technologies ha individuato una massiccia campagna di adware per dispositivi mobili che ha già generato quasi 150 milioni di download di 206 app infette presenti sul Google Play Store.
Soprannominata “SimBad” – dato che la maggior parte delle app infette sono giochi di simulazione – questa campagna adware è in grado di rendere fastidioso l’uso del telefonino. L’utente, infatti, riceve numerosi annunci pubblicitari al di fuori dell’applicazione ed è impossibilitato a disinstallare le app incriminanti.
Tutte le app infette utilizzano un SDK (Software Development Kit) malevolo per eseguire le loro operazioni. Sebbene siano disponibili altri SDK per la monetizzazione delle app, gli sviluppatori di giochi hanno scelto di utilizzare un SDK a loro vantaggio, visualizzando un numero molto più elevato di annunci per aumentare i loro profitti.
Il comportamento malevolo delle app include quindi:
- mostrare annunci al di fuori dell’applicazione, ad esempio quando l’utente sblocca il proprio telefono o utilizza altre app;
- apertura costante di Google Play o 9Apps Store e reindirizzamento a un’altra particolare applicazione, in modo che lo sviluppatore possa trarre vantaggio da installazioni aggiuntive;
- nascondere la relativa icona dal programma di avvio per impedire la disinstallazione;
- apertura di un browser Web con collegamenti forniti dallo sviluppatore dell’app;
- download di file APK (Android Package) e richiesta all’utente di installarli;
- ricerca di una parola fornita dall’app in Google Play.
Un’altra recente scoperta realizzata dal team di ricerca di Check Point Software Technologies riguarda un gruppo di applicazioni Android che nascondono malware all’interno del SDK di monetizzazione, denominato SWAnalytics, che è stato inserito in applicazioni Android apparentemente innocue e pubblicate nei principali app store cinesi di terze parti. Una volta installata l’app, SWAnalytics segnala alle vittime l’apertura di un’applicazione infetta o riavvia i loro telefoni, appropriandosi in modo silenzioso dell’elenco dei contatti che vengono inviati a un server remoto.
Check Point Software Technologies rileva che al momento le applicazioni infette sono 12, la maggior parte delle quali sono app di utilità di sistema, e che sono già state scaricate ben 111 milioni di volte. Questo significa che il malintenzionato potrebbe aver già raccolto i contatti e i numeri di un terzo dell’intera popolazione cinese!!
Tali dati potrebbero essere già presenti nei mercati del “dark web” per ulteriori exploit, come casi di marketing illecito, truffe telefoniche mirate o abuso di programmi di referral.