Google lotta da anni per impedire alle applicazioni dannose di intrufolarsi nel Play Store e all’inizio di marzo ha rimosso altre 56 applicazioni apparentemente benigne ma contaminate da adware. Erano state scaricate più di un milione di volte.
Mentre oltre la metà delle app erano utility come calcolatrici, strumenti di traduzione o app di cucina ben 24 erano specificamente rivolti ai bambini. Queste offerte appariscenti, come puzzle e giochi di corse, sono un modo particolarmente subdolo per gli aggressori di trasferire malware su più dispositivi. I ricercatori della società di sicurezza Check Point hanno rivelato a Google i risultati relativi alle app nell’ambito della ricerca in corso su come gli hacker nascondono e distribuiscono malware su Google Play.
“Poiché i genitori hanno la tendenza a fornire i propri dispositivi ai loro bambini con cui giocare, attirare i bambini a installare applicazioni dannose è un importante vettore di attacco per raggiungere i dispositivi degli adulti”, afferma Aviran Hazum, responsabile della ricerca mobile presso Check Point.
L’adware è una minaccia mobile di vecchia data, ma i malintenzionati sono diventati particolarmente aggressivi nel diffonderlo negli ultimi mesi. La società di rilevamento delle minacce Malwarebytes ha scoperto in uno studio annuale che l’adware “ha regnato supremo” nel 2019 come la minaccia più comune su dispositivi Android, Mac e PC Windows. All’inizio di questo mese, la società antivirus Avast ha pubblicato risultati secondo cui l’adware rappresentava il 72% di tutto il malware Android tra ottobre e dicembre dell’anno scorso.
L’adware nelle app contaminate di Google Play Store è stato appositamente progettato per minare il meccanismo MotionEvent di Android. Gli sviluppatori di app lo usano per riconoscere movimenti come tocchi e gesti con più dita e raccogliere informazioni su di essi, come le loro coordinate sullo schermo in uno spazio bidimensionale e tridimensionale. MotionEvent aiuta le app a interpretare questi input dell’utente e rispondere di conseguenza. L’adware, che Check Point chiama Tekya, stava manipolando questi input per simulare utenti che toccano gli annunci.
I ricercatori hanno osservato Tekya creare falsi clic per generare entrate dalle reti pubblicitarie tra cui Facebook, Unity, AppLovin ‘e AdMob di Google. L’adware manipola l’ecosistema pubblicitario per fare soldi per gli hacker facendo sembrare che un esercito di utenti abbia visualizzato e interagito con gli annunci. Molte delle 56 applicazioni infette identificate da Check Point non erano solo utilità dall’aspetto benigno, ma in realtà cloni di applicazioni legittime intese a confondere gli utenti e aumentare la possibilità che avrebbero scaricato accidentalmente la versione dannosa.