Android sotto attacco: rimosse 224 app malevole, rischi anche in Italia
Satori Threat Intelligence di Human Security ha scoperto una maxi truffa pubblicitaria che sfruttava 224 app malevole per dispositivi Android, ora rimosse da Google
In sintesi
- Scoperta di SlopAds: il team Satori Threat Intelligence di Human Security ha individuato 224 app dannose sul Google Play Store, scaricate oltre 38 milioni di volte, che generavano 2,3 miliardi di richieste pubblicitarie al giorno sfruttando il malware FatModule e tecniche di occultamento per eludere Play Protect.
- Portata globale e risposta di Google: la frode pubblicitaria ha colpito a livello mondiale, con la maggior parte di casi negli USA (30%), in India (10%) e in Brasile (7%). Google ha rimosso le app incriminate e avvisato gli utenti
Anche app apparentemente innocue possono rappresentare una minaccia alla sicurezza informatica. Una conferma in tal senso arriva dalla scoperta effettuata dal team Satori Threat Intelligence di Human Security che ha individuato numerose app dannose sul Google Play Store che venivano utilizzate per portare avanti una vera e propria frode pubblicitaria, chiamata SlopAds.
Come agivano le app
Il team di Human ha individuato 224 applicazioni dannose su Google Play Store che venivano utilizzate per generare 2,3 miliardi di richieste pubblicitarie ogni giorno. Complessivamente, queste app sono state scaricate per oltre 38 milioni di volte e hanno utilizzato varie tecniche per nascondere il loro comportamento ai sistemi di protezione di Play Protect.
Quando l’utente installa una delle app coinvolte in modo tradizionale, effettuando il download diretto dal Play Store, non si registra alcun comportamento anomalo. Le cose cambiavano, però, se l’app veniva installata tramite una delle campagne pubblicitarie.
In questo caso, l’applicazione utilizzava Firebase Remote Config per scaricare un file di configurazione crittografato, con tutti gli elementi necessari per portare avanti la campagna pubblicitaria fraudolenta, utilizzando il malware FatModule.
Questo malware utilizzava WebView per raccogliere informazioni sul dispositivo e sul browser. La campagna si basava su numerosi server per la gestione e su più di 300 domini promozionali (gli autori, probabilmente, pianificavano di pubblicare altre app dannose per alimentare lo schema truffaldino). Google ha rimosso tutte le app SlopAds note dal Play Store e ha aggiornato i sistemi per avvisare gli utenti in merito alla necessità di disinstallare le app dannose rilevate.
Una campagna globale
L’operazione SlopAds era globale, con la più alta concentrazione di impressioni pubblicitarie è stata registrata negli Stati Uniti (30%), seguiti da India (10%) e Brasile (7%). Anche gli utenti in Italia hanno dovuto fare i conti con queste app malevole e ora sono chiamati a disinstallare le applicazioni segnalate da Google per mettere al sicuro i propri dispositivi.
Human ha sottolineato: “I ricercatori hanno soprannominato questa operazione ‘SlopAds’ perché le app associate alla minaccia hanno l’aspetto di essere prodotte in serie, alla maniera di ‘ AI slop ‘, e come riferimento a una raccolta di applicazioni e servizi a tema IA ospitati sul server C2 degli autori della minaccia“.
Considerando le particolari caratteristiche della frode pubblicitaria, è molto probabile, secondo Human, che gli autori continuino con le loro operazioni, creando una nuova campagna analoga. La minaccia, quindi, non è ancora cancellata in modo completo e sarà necessario mantenere alta la guardia per proteggere i dispositivi da ulteriori campagne di questo tipo nel corso del prossimo futuro. Lo schema di attacco, però, ora è noto e riconoscerlo sarà più facile.
