I ricercatori di ESET hanno analizzato un insieme di app appena scoperte su Google Play, l’app store ufficiale di Google, che si presentano come applicazioni di sicurezza. Invece di garantire protezione però il loro unico scopo e mostrare annunci indesiderati e avvisi di pseudo-sicurezza assolutamente fasulli.
Secondo AV-Comparatives, un’organizzazione di test indipendente, esistono differenze significative nel livello di protezione fornito dalle soluzioni di sicurezza mobile. Tuttavia, anche le app di protezione meno efficaci sono sicuramente migliori di quelle fasulle che si presentano come applicazioni di sicurezza con il solo scopo di visualizzare annunci agli utenti. Trentacinque di queste applicazioni sono state recentemente scoperte nell’app store ufficiale di Google Play.
Queste app sono riuscite per alcuni anni a non essere rilevate dai sistemi di sicurezza di Google, presentandosi con statistiche interessanti sul Play Store e arrivando a contare addirittura oltre 6 milioni di installazioni totali. Tuttavia, non tutte rappresentano installazioni reali, infatti è molto comune che a effettuare questi download siano dei bot che successivamente pubblicano recensioni positive migliorando le valutazioni delle rispettive app.
Tutte le 35 app sono state segnalate da ESET e infine rimosse dallo store.
Figura 1 – Le 35 app in questione su Google Play
Oltre a infastidire le loro vittime con pubblicità, il proporre queste app come software di sicurezza ha anche alcuni gravi effetti collaterali negativi. Per imitare le funzioni di sicurezza di base, infatti, effettuano dei controlli di sicurezza molto banali basati su regole semplici e predefinite, arrivando spesso a rilevare le app legittime come dannose. E, ultimo ma non meno importante, creano un falso senso di sicurezza nelle vittime, che potrebbe esporle a rischi reali derivanti da app dannose che non possono essere rilevate come tali.
L’analisi di ESET ha dimostrato che tra queste 35 app, solo una manciata si distingue per caratteristiche specifiche: un’app non è completamente gratuita in quanto offre un aggiornamento a pagamento; una ha implementato un gestore di app-locker primitivo, facilmente aggirabile; un’altra app segnala le altre di questo gruppo come pericolose di default; e infine, una utilizza impropriamente il marchio ESET.
Figura 2 – Una delle 35 app che rileva altre app simili come “ad alto rischio”
Figura 3 – Una delle app che si segnala come “ad alto rischio”
Figura 4 – Una delle app che offre un’”offerta a pagamento”
Funzionalità che imita la sicurezza
Per passare inosservate ai sistemi di rilevamento di sicurezza di Google, tutti gli annunci di queste app fasulle imitano i messaggi che possono essere mostrati da reali soluzioni di sicurezza mobile. Tuttavia, i loro “meccanismi di rilevamento” sono incompleti e molto primitivi, il che li rende facili da superare e inclini a rilevare falsi positivi.
La nostra ricerca su queste discutibili app ha dimostrato che i loro “meccanismi di rilevamento” possono essere suddivisi in quattro categorie. Questi meccanismi sono identici o quasi identici in tutto l’insieme di app.
1) Whitelist e blacklist dei nomi di pacchetto
Queste whitelist includono app famose come Facebook, Instagram, LinkedIn, Skype e altri. Le “blacklist” contengono troppo pochi elementi per poterle considerare come funzionalità di sicurezza.
Figura 5: whitelisting app popolari
2) Blacklist dei permessi
Tutte le app (comprese quelle legittime) verranno rilevate se richiedono alcune delle autorizzazioni considerate come pericolose, tipo inviare e ricevere SMS, accedere ai dati sulla posizione, accedere alla videocamera, ecc.
Figura 6 – Blacklist dei permessi
3) Whitelist in base alla sorgente
Tutte le app, tranne quelle dello store ufficiale di Android, Google Play, verranno rilevate come pericolose, anche se completamente innocue.
4) Blacklist delle attività
Tutte le app che contengono una delle attività nella blacklist: cioè parti di applicazioni. Ciò riguarda principalmente alcune attività di visualizzazione degli annunci.
Verranno rilevate tutte le app che contengono una qualsiasi delle attività nella blacklist, ovvero pacchetti di applicazioni che vengono utilizzati in un’applicazione. Questi pacchetti possono gestire funzionalità aggiuntive (principalmente alcune attività di visualizzazione degli annunci).
Sebbene non vi sia nulla di sbagliato nell’idea della blacklist delle attività, l’implementazione in queste app sospette è piuttosto improvvisata. Ad esempio, Google Ads è incluso nella blacklist nonostante sia un servizio legittimo. Oltre a essere legittimo, questo servizio è implementato in tutte le app di questo tipo che abbiamo analizzato.
Figura 7 – Blacklist delle attività
“Funzionalità” aggiuntive di sicurezza
Alcune di queste app di sicurezza sospette sono in grado di proteggere le app di un utente con una password o un locker di pattern. L’idea alla base di questa funzione apparentemente utile è quella di fornire all’utente un ulteriore livello di sicurezza nelle app selezionate.
Tuttavia, a causa di un’implementazione non sicura, questa funzionalità non riesce a fornire una vera protezione all’utente.
Il problema è che le informazioni rilevanti non sono memorizzate in modo sicuro sul dispositivo – invece di usare la crittografia, che dovrebbe essere una misura di protezione dei dati di base parlando di sicurezza informatica, queste app registrano i nomi delle app bloccate e le password per sbloccarle come testo in chiaro.
Ciò significa che è possibile accedere ai dati dopo aver effettuato i rooting del dispositivo.
Oltre a compromettere i dati non crittografati tramite il rooting del telefono, c’è un altro modo per aggirare il blocco dell’app. Un utente malintenzionato con accesso fisico al dispositivo può modificare la password di blocco dell’app senza conoscere quella precedente!
Figura 8 – Una delle app sospette con funzionalità di blocco delle app che memorizza i dati dell’utente in testo semplice
Conclusione
Avere una soluzione di sicurezza installata in un telefono Android è sicuramente una buona cosa. Tuttavia, non tutte le app con le diciture “sicurezza” o “antivirus” nel nome proteggono effettivamente il dispositivo. Prima di installare una soluzione di sicurezza è bene pensare due volte: è davvero uno strumento su cui fare affidamento?
Le 35 app di pseudo-sicurezza descritte in questo articolo non sono, ad esempio, ransomware o altri malware hardcore. L’unico danno che fanno è visualizzare annunci fastidiosi, rilevare falsi positivi e dare alla vittima un falso senso di sicurezza. Tuttavia, quei milioni di utenti incauti che li hanno scaricati potrebbero facilmente aver finito per scaricare un vero malware che utilizza un sistema di camuffamento simile.
Invece di app con nomi e icone appariscenti o promesse stravaganti e non confermate, meglio cercare una soluzione di sicurezza affidabile. E quale scegliere? Potrebbe aiutarvi una valutazione indipendente condotta da parte di una famosa e rispettata organizzazione di test.
IoC
Rilevazione ESET:
Android/Blacklister.A applicazione potenzialmente indesiderata
3 Comments