Due gruppi di ricercatori hanno scoperto due nuovi set separati di malware, incorporati attraverso una serie di app disponibili con vari mezzi, che funzionano più o meno allo stesso modo. E quel che è peggio, alcuni di essi si trovano anche sul Google Play Store, rendendo meno efficace il solito ritornello “non installare app da luoghi sconosciuti”.
Questa coppia di malware sembrano essere separati, ma entrambi funzionano in modo simile. Sfruttano i processi del tuo telefono per fare clic all’infinito sugli annunci pubblicitari, rallentando il telefono e avendo un impatto enorme sulla batteria.
Schermi virtuali, pubblicità reali
Il malware scoperto più recentemente, ancora senza nome, è stato scoperto dai ricercatori della società di sicurezza mobile Dr.Web e segnalato da Computer che suona. Questo malware utilizza la libreria TensorFlow.js inclusa nei telefoni Android di Google per consentire il funzionamento dei processi di apprendimento automatico nei browser.
E funziona: quando viene attivato, il malware apre un display virtuale (falso), su cui visualizza e fa clic sugli annunci. L’uso di un processo di apprendimento automatico fa sì che i clic sembrino molto più naturali rispetto ai classici clic sugli annunci. Tuttavia, l’impatto sul tuo dispositivo è altrettanto negativo di quello dei malware precedenti, con un impatto significativo sulla velocità di elaborazione e sulla durata della batteria.
Ancora peggio, il malware apre anche un livestream permanente sul tuo dispositivo, che consente agli aggressori di interagire con il display virtuale secondo necessità.
In particolare, le app provengono dal catalogo software GetApps di Xiaomi. Secondo Dr.Web le app vengono caricate senza malware, che viene poi aggiunto in un secondo momento, aggirando ogni potenziale rete di sicurezza.
Non sorprende che il malware abbia anche infettato pesantemente siti AP di terze parti come Apkmody e Moddroid. I ricercatori affermano che l’elenco Editor’s Choice di quest’ultimo è pieno zeppo di app infette, così come le versioni “premium” di app come Spotify trovate sui canali Telegram.
Di solito, la scelta migliore è evitare di scaricare app da store di terze parti, ma è stato trovato malware anche su Google Play Store.
Scoperto da una squadra al Checkpoint nel novembre dello scorso anno, il malware, soprannominato GhostAd, funziona più o meno come la minaccia più recente. GhostAd si mantiene nei processi in primo piano, aggirando le consuete protezioni di Google mantenendo aperta una notifica vuota.
Questa minaccia è particolarmente dannosa, poiché utilizza uno scheduler automatico che riavvia nuovamente il processo, anche se è stato altrimenti interrotto. Questo rende difficile fermarlo una volta iniziato.
Per fortuna le app segnalate da Checkpoint sono state rimosse da Google, ma è allarmante che siano riuscite a prendere piede proprio lì. Un’app infetta è riuscita addirittura a raggiungere la seconda posizione nell’elenco dei migliori strumenti gratuiti di Google Play.
Dato che le app infette sono scomparse, probabilmente non dovrai preoccuparti di queste, ma è importante notare che le pratiche ingannevoli delle app sono state correttamente identificate nelle relative sezioni di revisione. Assicurati quindi di leggere le recensioni di qualsiasi app che stai per installare se non proviene da uno sviluppatore di app affidabile.
