Tags Posts tagged with "Play Store"

Play Store

0 150

Negli ultimi anni Google ha svolto un’intensa attività per migliorare la sicurezza del suo app store Google Play. Perché? Perché milioni di utenti hanno inavvertitamente scaricato migliaia di app dannose dallo store che hanno compromesso i loro dati, tra cui SMS, credenziali, foto, calendari, appuntamenti ed e-mail. Ad esempio, nel marzo 2019, l’adware “SimBad” è stato trovato in oltre 200 app sullo store, con un conteggio di download combinato di quasi 150 milioni.

Dalla costituzione formale dell’alleanza, sono state effettuate oltre 5,2 milioni di installazioni di app dannose, che hanno riguardato decine di campagne di quattro diversi tipi di malware. Queste famiglie di malware hanno una serie di capacità: dalla possibilità di rubare tutte le informazioni dal dispositivo, alla possibilità di prenderne il controllo facendo apparire pubblicità o sovrapposizione di finestre come una forma di attacco phishing. Queste applicazioni utilizzano anche una varietà di tecniche per evitare il rilevamento da parte dei team di sicurezza dell’alleanza, tra cui l’offuscamento del codice e il download ritardato di payload dannosi.

Una di queste campagne è stata scoperta dai ricercatori di Check Point Software. La famiglia di malware Haken è stata installata su oltre 50.000 dispositivi Android da otto diverse applicazioni dannose mascherate da utility per la fotocamera e giochi per bambini, tutti apparentemente innocui.

Il malware è classificato come “clicker” per la sua capacità di prendere il controllo del dispositivo dell’utente e di cliccare su qualsiasi cosa possa apparire sullo schermo. È importante notare che il malware può accedere a qualsiasi tipo di dati, quindi tutto ciò che è visibile sullo schermo è un potenziale bersaglio (ad esempio e-mail di lavoro), così come qualsiasi dato memorizzato localmente (come conversazioni di lavoro su un’applicazione di messaggistica).

L’impatto sugli utenti è duplice: il malware può attivare servizi in abbonamento premium senza che l’utente se ne renda conto, facendo guadagnare denaro illegalmente alle persone che stanno dietro l’app, e può estrarre dati sensibili direttamente dal dispositivo. La buona notizia è che queste app corrotte sono state tutte rimosse da Google Play.

Tuttavia, ciò evidenzia che, nonostante i continui sforzi per proteggere il Google Play Store dalle app dannose, eliminare completamente il rischio che gli utenti scarichino un’app pericolosa dallo store non avverrà in tempi brevi. Ci sono quasi 3 milioni di app disponibili in Play Store, con centinaia di nuove app caricate ogni giorno – il che rende difficile controllare che ognuan di esse sia sicura.

Alcuni sviluppatori di app hanno escogitato metodi ingegnosi per nascondere il vero intento delle loro app all’esame di Google. Insieme a un ecosistema Android frammentato, in cui un gran numero di produttori di dispositivi offre raramente aggiornamenti strategici del sistema operativo, gli utenti non possono contare solo sulle misure di sicurezza di Google Play per garantire la protezione dei loro dispositivi.

È necessario implementare un software di sicurezza per scongiurare malware e altre minacce e proteggere i dati aziendali e personali su questi dispositivi. La soluzione di sicurezza deve veramente comprendere i comportamenti dannosi, il che significa che deve utilizzare numerose tecniche avanzate che vanno oltre le semplici firme o l’apprendimento automatico basato su indicatori statici.

Se si sospetta che il proprio dispositivo sia stato infettato da una di queste app, ecco i passaggi da seguire:

  1. Disinstallare l’app infetta dal proprio dispositivo
  2. Controllare le fatture del cellulare e della carta di credito per verificare se si sia stati registrati per eventuali abbonamenti e, se possibile, cancellarli.
  3. Installare una soluzione di sicurezza per prevenire futuri attacchi

Check Point Research scopre che alcune applicazioni di alto profilo presentano delle vulnerabilità sul Play Store di Google, in particolare:

  • È impossibile eseguire gli update e installare correttamente le patch
  • Gli hacker riescono ad acquisire i dati di localizzazione da Instagram, modificare i post su Facebook e leggere i messaggi su WeChat
  • I ricercatori affermano che la mancanza di azione di Google è un problema

È impossibili eseguire gli update

Comunemente si pensa aggiornando costantemente un’applicazione alla versione più recente, sarà possibile rendersi immuni agli attacchi degli hacker. Non è vero. I ricercatori di Check Point hanno dimostrato che le patch di alcune importanti applicazioni di alto profilo – Facebook, Instagram, WeChat – non erano presenti nel Play Store di Google. In uno studio della durata di un mese, i ricercatori di Check Point hanno analizzato le ultime versioni di alcune delle più famose applicazioni mobili per verificare l’esistenza di vulnerabilità precedentemente note. I risultati sono allarmanti.

Controllo amministrativo di Facebook, Instagram e WeChat da parte degli hacker

La ricerca dimostra che gli attori della minaccia possono ancora eseguire codice sulle ultime versioni delle applicazioni mobili presenti su Play Store, nonostante gli aggiornamenti. In breve, questi sono in grado di ottenere il controllo amministrativo delle applicazioni mobili studiate da Check Point Research. Teoricamente, gli attori della minaccia possono impossessarsi e modificare i post su Facebook, estrarre i dati di localizzazione da Instagram e leggere i messaggi SMS in WeChat.

Il processo di ricerca

In particolare, Check Point Research ha riesaminato le ultime versioni di queste app mobile di alto profilo in cerca di tre vulnerabilità note per l’esecuzione del controllo da remoto (RCE) risalenti al 2014, 2015 e 2016. Ad ogni vulnerabilità sono state assegnate due firme. Poi, Check Point Research ha utilizzato il proprio motore statico per esaminare centinaia di applicazioni mobili nel Play Store di Google per vedere se il vecchio codice vulnerabile era ancora presente nell’ultima versione dell’applicazione. Check Point Research ha trovato alcuni codici vulnerabili nelle ultime versioni di applicazioni mobili popolari, nonostante fosse stato affermato il contrario.

La staticità di Google è un problema

Questa ricerca fa sorgere un’altra domanda: perché Google non controlla gli aggiornamenti degli sviluppatori delle applicazioni? Oggi, Google offre semplicemente agli sviluppatori la possibilità di aggiornare le applicazioni. Per noi, questo è estremamente pericoloso e fuorviante per il grande pubblico. Riteniamo che Google dovrebbe obbligare gli sviluppatori di applicazioni mobili ad aggiornare le loro applicazioni, codice di terze parti incluso. In fondo, Google è parzialmente responsabile del monitoraggio dei malware e dei codici vulnerabile.

Divulgazione responsabile

Check Point Research ha informato sia le aziende delle applicazioni che Google delle vulnerabilità riscontrate.

Instagram ha notificato di aver confusamente creato due diverse patch per una delle vulnerabilità. È importante notare che la nostra ricerca si è concentrata sullo stato della sicurezza delle applicazioni presenti nel Play Store di Google e non su specifiche vulnerabilità di specifiche applicazioni.

Cosa dovrebbero fare gli utenti

Per ora, Check Point invita le persone a installare un’applicazione antivirus per monitorare le applicazioni vulnerabili presenti sul telefono. La speranza è che la nostra ricerca modifichi il processo e le procedure di rilevamento di Google.