Google Play sotto attacco, dispositivi Android nel mirino di Guerrilla

Naviga SWZ: Home Page » News
News del 11 Settembre 16 Autore: Stefano Fossati
Si chiama Guerrilla il nuovo trojan Android che tenta di superare i meccanismi di protezione anti-frode di Google Play Store. Il malware, scoperto dai ricercatori di Kaspersky Labs, si basa su una falsa applicazione che, una volta installata sul dispositivo, permette ai cybercriminali di condurre campagne pubblicitarie “sospette” usando i device infetti per scaricare, installare, valutare e commentare le applicazioni mobile disponibili su Google Play. Il malware riesce comunque ad aggirare i meccanismi di Google Play solo dai dispositivi su cui è stato effettuato il root, operazione sempre altamente sconsigliata agli utenti meno esperti.

Utilizzata da milioni di utenti e sviluppatori software, la piattaforma Google Play è spesso nel mirino dei cybercriminali, ad esempio per condurre le cosiddette campagne Shuabang, molto diffuse in Cina: si tratta di attività pubblicitarie-truffa realizzate per promuovere alcune app legittime assicurando loro i punteggi massimi, aumentando i tassi di download e postando commenti positivi su Google Play. Le app usate per condurre queste campagne pubblicitarie, sottolineano gli esperti di sicurezza, normalmente non comportano per il proprietario di un dispositivo infetto il rischio di furto di informazioni o di denaro, ma possono comunque essere dannose: scaricando ulteriori app sul dispositivo consumano traffico internet e, in alcuni casi, le app Shuabang sono in grado di installare di nascosto programmi a pagamento, insieme ad altri gratuiti, addebitando i relativi costi sulla carta di credito registrata nell’account Google Play della vittima.

Google Play sotto attacco, dispositivi Android nel mirino di Guerrilla - immagine 1

Per condurre queste campagne, i criminali creano numerosi falsi account Google Play o infettano i dispositivi degli utenti con malware dedicati, che conducono attività nascoste su Google Play in base ai comandi ricevuti dagli hacker. Sebbene Google abbia posto in opera importanti meccanismi di protezione per rilevare e bloccare i falsi utenti e prevenire operazioni nocive, sembra che gli sviluppatori del trojan Guerrilla stiano cercando di aggirarli.

Il trojan viene installato nel dispositivo preso di mira attraverso il rootkit Leech, un malware che attribuisce a un hacker i privilegi di amministratore sul dispositivo infettato, consentendogli di modificare a piacimento le informazioni sul dispositivo stesso. In questo modo gli hacker ottengono l’accesso a username, password e token di autenticazione della vittima, che sono necessari affinché un’app comunichi con i servizi ufficiali di Google e sono inaccessibili per le comuni applicazioni su dispositivi di cui non è stato fatto il root. Dopo l’installazione, il trojan Guerrilla usa queste informazioni per comunicare con il Google Play Store come se fosse un’app autentica di Google Play.

Per non farsi scoprire facilmente, i criminali usano le informazioni di autenticazione su un vero utente, mentre le richieste da parte della falsa applicazione client a Google Play sono molto simili a quelle effettuate dalle applicazioni reali. Inoltre gli sviluppatori hanno provato a imitare il modo in cui un utente reale interagisce con il Play Store: così, ad esempio, prima di richiedere la pagina su cui si trova una particolare app, viene effettuata una ricerca per l’app di interesse, proprio come farebbe un essere umano.

“Guerrilla non è la prima app nociva che prova a sfruttare il Google Play Store, ma lo fa in un modo particolarmente sofisticato, che non abbiamo mai visto prima”, spiega Nikita Buchka, esperto di sicurezza di Kaspersky Lab; “Il pensiero dietro a questo metodo è chiaro: Google probabilmente può distinguere con semplicità le richieste fatte a Google Play dai robot; la maggior parte dei malware Shuabang che conosciamo si limitano infatti a mandare richieste per la pagina dedicata a una specifica app. Questo non è quello che farebbe una persona reale, quindi è facile per Google capire che la richiesta non viene da un utente autorizzato. Il malware che effettua una ricerca per un’app prima di visitare la sua pagina è più difficile da rilevare, in quanto è lo stesso comportamento della maggior parte degli utenti di Google Play. Tuttavia, è importante notare che questo malware è capace di aggirare i meccanismi di Google Play solo da dispositivi su cui è stato fatto il root, il che ci ricorda nuovamente dell’importanza di evitare smartphone e tablet Android rootati”.

Per evitare di essere colpiti da malware per Android, gli esperti di Kaspersky Lab consigliano di limitare le installazioni di app da fonti diverse dall’app store ufficiale, usare soluzioni di sicurezza affidabili e non fare il root dei dispositivi.
Inserisci un commento sul forum Commenta la News sul Forum

Voto:

Categoria: Sicurezza

La Community di SWZone.it

La community con le risposte che cerchi ! Partecipa é gratis !
Iscrizione ForumIscriviti al Forum

Newsletter

Vuoi ricevere tutti gli aggiornamenti di SWZone direttamente via mail ?
Iscrizione NewsletterIscriviti alla Newsletter

News Collegate