Tags Posts tagged with "Google Play"

Google Play

0 154

Negli ultimi anni Google ha svolto un’intensa attività per migliorare la sicurezza del suo app store Google Play. Perché? Perché milioni di utenti hanno inavvertitamente scaricato migliaia di app dannose dallo store che hanno compromesso i loro dati, tra cui SMS, credenziali, foto, calendari, appuntamenti ed e-mail. Ad esempio, nel marzo 2019, l’adware “SimBad” è stato trovato in oltre 200 app sullo store, con un conteggio di download combinato di quasi 150 milioni.

Dalla costituzione formale dell’alleanza, sono state effettuate oltre 5,2 milioni di installazioni di app dannose, che hanno riguardato decine di campagne di quattro diversi tipi di malware. Queste famiglie di malware hanno una serie di capacità: dalla possibilità di rubare tutte le informazioni dal dispositivo, alla possibilità di prenderne il controllo facendo apparire pubblicità o sovrapposizione di finestre come una forma di attacco phishing. Queste applicazioni utilizzano anche una varietà di tecniche per evitare il rilevamento da parte dei team di sicurezza dell’alleanza, tra cui l’offuscamento del codice e il download ritardato di payload dannosi.

Una di queste campagne è stata scoperta dai ricercatori di Check Point Software. La famiglia di malware Haken è stata installata su oltre 50.000 dispositivi Android da otto diverse applicazioni dannose mascherate da utility per la fotocamera e giochi per bambini, tutti apparentemente innocui.

Il malware è classificato come “clicker” per la sua capacità di prendere il controllo del dispositivo dell’utente e di cliccare su qualsiasi cosa possa apparire sullo schermo. È importante notare che il malware può accedere a qualsiasi tipo di dati, quindi tutto ciò che è visibile sullo schermo è un potenziale bersaglio (ad esempio e-mail di lavoro), così come qualsiasi dato memorizzato localmente (come conversazioni di lavoro su un’applicazione di messaggistica).

L’impatto sugli utenti è duplice: il malware può attivare servizi in abbonamento premium senza che l’utente se ne renda conto, facendo guadagnare denaro illegalmente alle persone che stanno dietro l’app, e può estrarre dati sensibili direttamente dal dispositivo. La buona notizia è che queste app corrotte sono state tutte rimosse da Google Play.

Tuttavia, ciò evidenzia che, nonostante i continui sforzi per proteggere il Google Play Store dalle app dannose, eliminare completamente il rischio che gli utenti scarichino un’app pericolosa dallo store non avverrà in tempi brevi. Ci sono quasi 3 milioni di app disponibili in Play Store, con centinaia di nuove app caricate ogni giorno – il che rende difficile controllare che ognuan di esse sia sicura.

Alcuni sviluppatori di app hanno escogitato metodi ingegnosi per nascondere il vero intento delle loro app all’esame di Google. Insieme a un ecosistema Android frammentato, in cui un gran numero di produttori di dispositivi offre raramente aggiornamenti strategici del sistema operativo, gli utenti non possono contare solo sulle misure di sicurezza di Google Play per garantire la protezione dei loro dispositivi.

È necessario implementare un software di sicurezza per scongiurare malware e altre minacce e proteggere i dati aziendali e personali su questi dispositivi. La soluzione di sicurezza deve veramente comprendere i comportamenti dannosi, il che significa che deve utilizzare numerose tecniche avanzate che vanno oltre le semplici firme o l’apprendimento automatico basato su indicatori statici.

Se si sospetta che il proprio dispositivo sia stato infettato da una di queste app, ecco i passaggi da seguire:

  1. Disinstallare l’app infetta dal proprio dispositivo
  2. Controllare le fatture del cellulare e della carta di credito per verificare se si sia stati registrati per eventuali abbonamenti e, se possibile, cancellarli.
  3. Installare una soluzione di sicurezza per prevenire futuri attacchi

Trend Micro, leader globale di cybersecurity, comunica di aver scoperto una nuova campagna adware (identificata come AndroidOS_HiddenAd.HRXAA e AndroidOS_HiddenAd.GCLA) nascosta all’interno di 182 app di giochi o per fotocamera. La maggior parte di queste app maligne è stata identificata all’interno di Google Play e i download sono stati milioni.

L’adware rilevato in queste app è in grado di nascondersi ed evadere le rilevazioni sandbox, di generare pubblicità a tutto schermo che non possono essere chiuse immediatamente, creare pop-up che infestano il dispositivo dell’utente compromettendo la memoria e le prestazioni della batteria, e portare gli utenti a siti maligni.

Delle 182 app maligne rilevate, 111 sono state identificate all’interno del Google Play Store, le altre in store di terze parti. Le app sono state rimosse da Google Play, ma i download totali sono stati 9.349.000.

0 824

Symantec ha scoperto 38 app potenzialmente dannose, celate in applicazioni education e gaming del Play Store di Google: il malware rimane nascosto per qualche ora, per poi rimuovere l’icona dalla schermata home e reindirizzare le vittime verso un’altra app in Google Play che visualizza contenuti pubblicitari.

Le app sono state pubblicate sul Play Store a dicembre 2017 e sono state tutte rimosse dopo la notifica a Google da parte di Symantec.

Gli utenti del Google Play Store in USA, UK, Sud Africa, India, Giappone, Egitto, Germania, Olanda e Svezia, sono quelli che hanno scaricato il maggior numero di applicazioni con il malware. In totale le app infette sono state scaricate su almeno 10.000 dispositivi.

App con il malware ancora presenti in Google Play:

  • Una serie di app infette sono riapparse nel Play Store con un nome e un publisher leggermente diversi anche dopo che Google ha provveduto a rimuovere l’app originale
  • Il malware è Android.Reputation.1 ed è presente in almeno 7 app negli Stati Uniti
  • Le funzionalità delle app comprendono add-on per le tastiere (emoji), space cleaners, app lockers, calcolatrici e registratori di chiamata.
  • Il malware rimane dormiente per 4 ore prima di avviare attività potenzialmente dannose, richiedere i privilegi dell’amministratore, cambiare l’icona di avvio e distribuire il contenuto sul dispositivo traendone profitto.

In passato, i criminali informatici hanno preso di mira aziende, ospedali e governi; oggi, li abbiamo visti concentrarsi su giochi e app destinati ai bambini!

Il team di ricercatori di Check Point® Software Technologies Ltd, il più grande fornitore mondiale specializzato nel campo della sicurezza informatica, ha rilevato un nuovo e sgradevole codice malevole sul Google Play Store che si nasconde all’interno di circa 60 app di gaming, molte delle quali sono destinate ai bambini.

Secondo i dati di Google Play, le app sono state scaricate tra i 3 milioni e 7 milioni di volte.

Soprannominato “AdultSwine”, questo malware crea preoccupazione per tre diversi motivi:

  • Visualizza annunci pubblicitari dal Web che sono spesso altamente inappropriati e pornografici;
  • Tenta di indurre gli utenti a installare false “app di sicurezza”;
  • Induce gli utenti a registrarsi ai servizi premium a spese dell’utente.

Inoltre, il codice malevolo può essere utilizzato per aprire la porta ad altri attacchi come il furto di credenziali dell’utente.

I laboratori Trend Micro, leader globale nelle soluzioni di sicurezza informatica, comunicano di aver scoperto delle app maligne per il mining di criptomoneta all’interno di Google Play. Queste app utilizzavano un JavaScript dinamico e del codice nativo per cercare di non essere rilevate.

Le minacce sono state battezzate ANDROIDOS_JSMINER e ANDROIDOS_CPUMINER.

ANDROIDOS_JSMINER contiene il JavaScript Coinhive, utilizzato per operazioni di mining in background ed è stato rilevato, ad esempio, all’interno di un’app che offriva sconti di vario tipo, ma anche in un’app per recitare il Rosario. Una volta avviate, le app caricano il codice JavaScript Coinhive e cominciano a minare criptomoneta, all’insaputa dell’utente.

ANDROIDOS_CPUMINER invece, aggiunge librerie per il mining ad app legittime, che sono poi rimpacchettate e distribuite.

Gli effetti di queste app maligne sui dispositivi degli utenti determinano una maggiore usura del dispositivo, la riduzione della durata della batteria e prestazioni comparativamente più lente. Queste app dimostrano che le minacce per il mining invisibile di criptomoneta cominciano a farsi strada anche sui dispositivi mobile. Gli utenti devono tenere traccia di ogni possibile variazione in negativo delle performance del proprio dispositivo, questo può aiutare a capire se si è stati colpiti da un’app per il mining di criptomoneta.

Ulteriori informazioni sono disponibili a questo link

I ricercatori di Check Point® Software Technologies Ltd, il più grande fornitore mondiale specializzato nel campo della sicurezza informatica, hanno scoperto una nuova campagna di malware diffusa attraverso Google Play, l’app store ufficiale di Google.

Il malware, soprannominato Judy, è un adware auto-click che è stato trovato su 41 app sviluppate da una società coreana. Judy utilizza i dispositivi infetti per generare grandi quantità di click fraudolenti sulla pubblicità, generando incredibili ricavi per gli autori. Le applicazioni affette dal malware hanno già raggiunto una diffusione sorprendente – tra 4.500.000 e 18.500.000 di download.

Alcune delle applicazioni infette individuate erano su Google Play da diversi anni, ma tutte sono state recentemente aggiornate. Non è chiaro da quanto tempo il codice malevolo fosse all’interno delle applicazioni in oggetto, quindi la diffusione effettiva del malware è attualmente sconosciuta.

Il team di ricerca di Check Point Software Technologies, azienda israeliana specializzata in soluzioni di cybersecurity, ha messo a punto una nuova scoperta.

Alla già nota adware-found-on-Google-Play-list, che conta già i precedenti casi Viking HordeDressCode e CallJam, si aggiunge anche il malware denominato Skinner che si cela all’interno di un’applicazione che fornisce funzioni di gioco. L’applicazione è stata scaricata da più di 10.000 utenti, ed è rimasta nascosta in Google Play per oltre due mesi. Skinner tiene traccia delle azioni dell’utente e lo geocalizza, inoltre può eseguire i codici direttamente dal server Command and Control senza la sua autorizzazione.

L’applicazione è stata rimossa dal Play Store dopo la segnalazione a Google da parte di Check Point.

Mentre l’adware è un pericolo noto agli utenti, Skinner utilizza tecniche elaborate per sfuggire ai rilevamenti e massimizzare i profitti, prendendo di mira gli utenti con una precisione senza precedenti.

Skinner propone, infatti, una tecnica avanzata capace di proporre agli utenti finali pubblicità ingannevoli senza destare alcun sospetto, anzi aumentando la possibilità per loro di far click sull’annuncio. Invece di visualizzare infatti qualsiasi annuncio, il malware controlla il tipo di applicazione che l’utente sta utilizzando in quel momento dato e propone una pubblicità ad hoc. Si tratta di una novità per i comportamenti che possono assumere gli adware mobile.

Finora, solo il malware di tipo banker seguiva questo meccanismo. Questa specie di “tecnica di marketing” aumenta notevolmente il tasso di successo del malware e coinvolge al momento quattro tipologie di app: applicazioni di navigazione, applicazioni per le chiamate, applicazioni di utility per risolvere qualsiasi problema e quelle browser.

Mentre la maggior parte degli adware colpisce una grande quantità di persone per generare grandi profitti, Skinner potrebbe potenzialmente generare la stessa quantità di entrate infettando un numero inferiore di utenti, riducendo così di gran lunga il rischio di essere scoperti. Più lieve è la diffusione di un malware, meno probabile è il rilevamento da parte degli organi di sicurezza.

Check Point ritiene che questa tecnica sarà di gran lunga perfezionata e utilizzata in futuro.

I ricercatori di Check Point Software Technologies, azienda specializzata in cybersicurezza, hanno scoperto una nuova variante del malware per dispositivi mobili HummingBad all’interno di 20 app disponibili su Google Play. Le app infettate da questa nuova minaccia sono state scaricate milioni di volte da utenti inconsapevoli. Check Point ha informato il team di sicurezza di Google di questo pericolo, e le app sono state rimosse da Google Play.

Questa nuova variante di malware, chiamata HummingWhale, utilizza tecniche innovative per perpetrare i crimini ancora meglio di prima. Già HummingBad, infatti, era un malware estremamente sofisticato, in grado di prendere il pieno controllo del dispositivo della vittima, ed è stata solo questione di tempo perché riuscisse a trovare un varco su Google Play. La versione HummingWhale, infatti, ha destato i primi sospetti non appena i ricercatori di Check Point hanno analizzato alcune di queste app, che hanno rivelato comportamenti e un codice sospetti.

Tutte le app incriminate sono state caricate sotto false identità di presunti sviluppatori cinesi.

La proprietà più sospetta rinvenuta in queste app è un file crittografato di 1.3MB, sospetto anche per la grandezza, in comune con alcune forme di HummingBad. Inoltre, i due malware sono accomunati da molti altri aspetti.

In generale, HummingWhale agisce attarverso il server Command&Control, che trasmette adv e app false al malware installato, che le propone a sua volta all’utente. Una volta che quest’ultimo cerca di chiudere l’adv, l’app, che è stata precedentemente insatallata dal malware, viene caricata sulla macchina virtuale e sfruttata come se fosse un dispositivo reale. Questa tecnica genera un’ID referred falsa, utilizzata dal malware per generare gli introiti per i criminali.

Questa tecnica offre molteplici vantaggi: per prima cosa, permette al malware di installare app senza chiedere permessi avanzati, nasconde l’attività malevola, riuscendo così a insidiarsi in Google Play, non è più legata al rootkit e, infine, riesce a installare una quantità infinita di app fraudolente, senza sovraccaricare il dispositivo.