Rimosso da Google Play un altro Adware

Sono state rimosse, da Google Play, più di una dozzina di applicazioni, dopo che alcuni ricercatori hanno scoperto che le stesse erano, tutte quante, dei “repack” di programmi legittimi, ed erano state create allo scopo di distribuire pubblicità, in maniera estremamente aggressiva, sui dispositivi Android.

Secondo quanto riferisce Zscaler, i nuovi Adware-malware cercano, con l’inganno, di indurre l’utente a concedere ad essi i privilegi di amministratore. Una volta ottenuti i diritti “desiderati”, le app malevole iniziano a mostrare all’utente pubblicità a tutto schermo, ad aprire link sul  browser mobile, avviare la riproduzione di video YouTube, aprire le applicazioni già installate nello smartphone e generare shortcut sulla schermata iniziale del dispositivo.

Queste app potenzialmente pericolose, collocate all’interno di Google Play, includevano una variegata serie di giochi, un photo editor, uno scanner di codici a barre e QR, ed una bussola digitale. Quattro di queste applicazioni sono state scaricate tra le 10.000 e le 50.000 volte. “Una prima analisi ha evidenziato come le stesse, di fatto, non fossero provviste di alcuna funzione che richiedesse i diritti di amministratore del dispositivo”, – scrive Gaurav Shinde, esperto di minacce Android, sul blog di Zscaler.

Secondo il ricercatore, la maggior parte dei pacchetti software analizzati da Zscaler conteneva una copia pirata di un’app legittima. Ad esempio, l’APK denominata “com.ndk.taskkiller” altro non era se non una versione compromessa dell’app “Battery Saver HD and Task Killer” (utilizzata per risparmiare la carica della batteria).

Il codice dannoso introdotto in tali copie consente all’app malevola di poter comunicare con il server C&C allestito dagli attacker. “Una volta installate con successo, queste applicazioni si collegano al server di comando specificato nella relativa configurazione, ed eseguono le istruzioni da esso ricevute”, – scrive Shinde.

Il primo comando messo in atto dall’Adware riguarda proprio la richiesta dei privilegi di amministratore. Per cercare di convincere l’utente a concedere tali diritti, il malware genera un falso menu delle impostazioni di Android, e propone poi all’utente di attivare un certo servizio, denominato “Plus Service”. “Se l’utente conferisce all’applicazione i privilegi di amministratore, la disinstallazione della stessa risulterà possibile soltanto privando l’app di tali diritti”, – aggiunge il ricercatore.

Per eludere il sistema di protezione previsto nell’ambito di Google Play, i malintenzionati hanno inserito i pacchetti malevoli all’interno del pacchetto originale Android denominato GMS. “La particolare collocazione del codice così introdotto “merita” un’attenzione speciale, – afferma Shinde. – Il pacchetto originale è “com.google.android.gms”; esso viene utilizzato per i Google Mobile Services (GMS). Nel caso qui preso in esame, in tali pacchetti è stato iniettato un pacchetto denominato “logs”, con il preciso scopo di tentare di bypassare gli strumenti preposti al rilevamento”.

Tutte le stringhe del codice malevolo risultano offuscate. “La tecnica utilizzata per la codifica è semplice; tuttavia, nonostante questo, essa ha svolto con successo il compito assegnatole, – afferma il ricercatore di Zscaler. – Una volta effettuata la decodifica di tutte le stringhe, il codice deoffuscato ha rivelato tutti i segreti in esso nascosti”.

È stata osservata, in particolare, la possibilità di caricare dinamicamente un file .dex aggiuntivo provvisto di codice che, una volta eseguito, avvia la riproduzione di determinati video YouTube, generando così profitti per gli autori di tali filmati. La possibilità di effettuare il download di file .dex, in seguito attivati, consente al malware di eseguire codice arbitrario, ottenuto dal server C&C. “È di particolare interesse rilevare come questo file .dex non venga incorporato nell’app originale, ma sia scaricato al momento del runtime, – commenta Deepen Desai, Senior Director di Zscaler per la ricerca e la gestione operativa. – Questo significa che lo sviluppatore dell’applicazione può in qualsiasi momento modificare il codice di secondlib.dex, e lo stesso potrà essere eseguito sul dispositivo; inoltre, all’utente non viene richiesto di aggiornare l’app”.

Le funzionalità dannose nascoste includevano ugualmente la modalità di attesa (standby) per il componente Adware: quest’ultimo, in effetti, non mostra alcuna attività nelle prime sei ore dopo l’installazione. I ricercatori ritengono che tale metodo sia stato un preciso tentativo per far sì che le app malevole potessero bypassare lo scanner Verify Apps su Google Play. Il fatto è che, quando viene eseguito il controllo, Verify Apps lancia l’applicazione soltanto per alcuni minuti, allo scopo di analizzarne il comportamento.

Il nuovo malware è ugualmente in grado di ricevere dal C&C appositi comandi per occultare/mostrare la propria icona; tale sotterfugio consente di eludere la vigilanza esercitata dall’utente. “L’icona dell’applicazione rimane nascosta se l’app non viene utilizzata per un periodo di cinque giorni, – si riferisce nel blog post pubblicato da Zscaler. – Nella maggior parte dei casi… questo si rivela sufficiente per fare in modo che l’utente non possa determinare l’origine delle fastidiose ed insistenti pubblicità”.

Le richieste di Threatpost per avere un commento in proposito non hanno per il momento ricevuto risposta da parte di Google.

Secondo quanto riferisce Deepen Desai, le app potenzialmente pericolose sono state rimosse da Google Play entro 24 ore dalla comparsa della prima di esse. Non considerando i video pubblicizzati dal malware su YouTube, è stato rilevato come tali applicazioni malevole non siano state individuate da nessuna altra parte, se non nell’app store ufficiale di Google. “Abbiamo rilevato un video YouTube virale per il gioco “Eighth Note Jump”, la cui popolarità è sensibilmente cresciuta nel corso di questo ultimo mese, – dichiara Desai. – Nella descrizione di questo video, l’autore della pubblicazione ha inserito un link per il download, preposto a condurre verso una delle app maligne”.

Fonte: Threatopst

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *