Bitdefender pubblica oggi una nuova ricerca su una massiccia campagna di malware che ha preso di mira le applicazioni Android e che è rimasta inosservata per almeno sei mesi: finora sono state identificate 60.000 app dannose (in costante crescita) che utilizzano tecniche per passare inosservate e indurre gli utenti a installarle con lo scopo di diffondere adware, Trojan bancari e ransomware sui dispositivi Android per generare profitti.
La campagna coinvolge principalmente coloro che installano app da fonti diverse da Google Play e che sono alla ricerca di applicazioni “moddate” per giochi popolari e servizi come YouTube, Netflix, TikTok, software di sicurezza contraffatti, VPN gratuite, tutorial falsi, applicazioni di pubblica utilità come per esempio il meteo o visualizzatore di pdf e altri. Di solito, le applicazioni moddate sono applicazioni originali modificate con tutte le loro funzionalità sbloccate o con modifiche alla programmazione iniziale.
Questa scoperta è stata resa possibile da una nuova tecnologia recentemente introdotta da Bitdefender, denominata App Anomaly, che utilizza modelli di machine learning per rilevare comportamenti sospetti delle app anche dopo l’installazione sui dispositivi.
Risultati principali:
- I criminali informatici hanno bisogno di convincere gli utenti a scaricare le app dannose, quindi camuffano queste applicazioni da app diffuse o prodotti ricercati che non si trovano sullo store Google Play ufficiale.
- Nel momento in cui l’utente cerca di installare l’app viene visualizzato un messaggio di errore che induce l’utente a pensare che l’installazione non sia andata a buon fine, mentre in realtà l’app dannosa è nascosta nel sistema, elencata solo nella sezione Impostazioni > Info app, sempre alla fine dell’elenco, senza nome e con un’icona vuota.
- La tecnica dei messaggi di errore, abbinata a un ritardo temporale appositamente creato per le attività dannose, rende estremamente difficile il rilevamento.
- Ad esempio, un meccanismo tipico di questa campagna si verifica quando l’utente apre un sito Web da una ricerca su Google di un’applicazione “moddata” e viene reindirizzato a una pagina pubblicitaria casuale. A volte, quella pagina è una pagina di download di malware mascherata da download legittimo dell’app moddata che l’utente stava cercando.
- Gli Stati Uniti sono il paese più bersagliato con il 55%, seguiti dalla Corea del Sud con il 9,8%. La campagna al momento colpisce solo marginalmente l’Europa: Regno Unito (2,71%) Francia (2,56%) e Italia (1,93%), ma Bitdefender invita tutti gli utenti a stare allerta perchè la scelta degli obiettivi potrebbe rapidamente cambiare.
Gli attacchi che colpiscono i dispositivi mobili stanno diventando sempre più frequenti e sofisticati. Bitdefender invita i consumatori e le aziende a stare attenti quando scaricano applicazioni e suggerisce di scaricare solo da fonti affidabili e di utilizzare una protezione antimalware su tutti i dispositivi.
