Google rimuove 17 app Android coinvolte in frodi sulla fatturazione WAP

Google ha rimosso questa settimana 17 applicazioni Android dal Play Store ufficiale. Le 17 app individuate dai ricercatori di sicurezza di Zscaler sono state infettate dal malware Joker (aka Bread).

"Questo spyware è progettato per rubare messaggi SMS, elenchi di contatti e informazioni sul dispositivo, in modo silenzioso iscrivendo la vittima ai servizi WAP (Wireless Application Protocol) premium," Viral, ricercatore di sicurezza di Zscaler Gandhi detto questa settimana.

Le 17 app dannose sono state caricate sul Play Store questo mese e non hanno avuto la possibilità di ottenere un seguito, essendo state scaricate più di 120.000 volte prima di essere rilevate.

I nomi delle 17 app erano:

• Tutto buono scanner PDF
• Messaggio foglia di menta: il tuo messaggio privato
• Tastiera unica: caratteri fantasiosi ed emoticon gratuite
• Blocco dell'app Tangram
• Messaggero diretto
• SMS privati
• Traduttore di una frase - Traduttore multifunzionale
• Collage di foto in stile
• Scanner meticoloso
• Desiderio Traduci
• Talent Photo Editor - Messa a fuoco sfocata
• Messaggio di cura
• Messaggio della parte
• Scanner per documenti cartacei
• Scanner blu
• Convertitore PDF Hummingbird: foto in PDF
• Tutto buono scanner PDF

Seguendo le proprie procedure interne, Google ha rimosso le app dal Play Store, utilizzando il servizio Play Protect disabilitare le app sui dispositivi infetti, ma gli utenti devono comunque intervenire manualmente e rimuovere le app dai propri dispositivi.

Joker è la rovina del Play Store

Ma questa recente rimozione segna anche la terza azione di questo tipo da parte del team di sicurezza di Google contro un gruppo di app infette da Joker negli ultimi mesi.

Google ha rimosso sei di queste app all'inizio del mese dopo che sono stati individuati e segnalati dai ricercatori di sicurezza di Pradeo.

Prima di ciò, a luglio, Google aveva rimosso un altro lotto di app infette da Joker scoperte dai ricercatori di sicurezza Anquanke. Questo batch era attivo da marzo ed era riuscito a infettare milioni di dispositivi.

Il modo in cui queste app infette riescono solitamente a oltrepassare le difese di Google e raggiungere il Play Store è attraverso una tecnica chiamata "contagocce," in cui il dispositivo della vittima viene infettato in un processo a più fasi.

La tecnica è abbastanza semplice, ma difficile da difendersi, dal punto di vista di Google.

Gli autori di malware iniziano clonando la funzionalità di un'app legittima e caricandola sul Play Store. Questa app è perfettamente funzionante, richiede l'accesso ad autorizzazioni pericolose, ma non esegue alcuna azione dannosa alla prima esecuzione.

Poiché le azioni dannose vengono solitamente ritardate di ore o giorni, le scansioni di sicurezza di Google non rilevano il codice dannoso e Google di solito consente all'app di essere elencata nel Play Store.

Ma una volta sul dispositivo dell'utente, l'app alla fine viene scaricata e "rilasciata" (da qui il nome droppers, o caricatori) altri componenti o app sul dispositivo che contengono il malware Joker o altro malware tensioni.

La famiglia Joker, che Google traccia internamente come Bread, è stata uno degli utenti più accaniti della tecnica del contagocce. Ciò, a sua volta, ha permesso a Joker di arrivare sul Play Store – il Santo Graal della maggior parte delle operazioni malware – più di molti altri gruppi malware. Nel mese di gennaio, Google ha pubblicato un post sul blog dove ha descritto Joker come una delle minacce più persistenti e avanzate con cui ha avuto a che fare negli ultimi anni. Google ha detto che i suoi team di sicurezza avevano rimosso più di 1.700 app dal Play Store dal 2017.

Ma Joker è molto più diffuso di così, essendo presente anche nelle app caricate su app store Android di terze parti.

Nel complesso, Anquanke ha affermato di aver rilevato più di 13.000 campioni di Joker da quando il malware è stato scoperto per la prima volta nel dicembre 2016.

Proteggersi da Joker è difficile, ma se gli utenti mostrano una certa cautela quando installano app con autorizzazioni ampie, possono evitare di essere infettati.

In altre notizie sulla sicurezza Android

Bitdefender ha segnalato una serie di app dannose al team di sicurezza di Google. Alcune di queste app sono ancora disponibili sul Play Store. Bitdefender non ha rivelato il nome delle app, ma solo i nomi degli account sviluppatore da cui sono state caricate. Gli utenti che hanno installato app di questi sviluppatori dovrebbero rimuoverle immediatamente.

• Nouvette
• Piastos 
• Prog 
• imirova91 
• StokeGroove 
• VolkavStune 

ThreatFabric ha anche pubblicato un rapporto su la scomparsa del Cerberus malware e l'ascesa del malware Alien, che contiene funzionalità per rubare credenziali per 226 applicazioni.

Aggiornato il 28 settembre per aggiungere che dopo la pubblicazione di questo articolo, entrambi Zimperium E Kaspersky ha anche pubblicato rapporti sui nuovi ceppi di malware Joker, confermando un recente picco nell'attività di Joker, come riportato da Zscaler, Pradeo e Anquanke.