Google elimina 77 app dal Play Store: rubavano dati e soldi

Gli analisti di Zscaler ThreatLabs hanno portato alla luce una nuova campagna di diffusione malware su Google Play, dove 77 applicazioni infette, scaricate più di 19 milioni di volte, hanno veicolato diversi malware Android. L’indagine è partita dal monitoraggio di Anatsa (Tea Bot), pericoloso trojan bancario che negli ultimi mesi ha ampliato il proprio raggio d’azione passando da 650 a 831 app bancarie e di criptovalute prese di mira. Il malware viene distribuito tramite app apparentemente legittime, come "Document Reader – File Manager", che scarica il payload malevolo soltanto dopo l’installazione, sfuggendo ai controlli automatici di Google.

Oltre due terzi delle app rilevate contenevano semplici componenti adware, utili a generare profitti attraverso pubblicità invasive, ma i ricercatori hanno scoperto che quasi il 25% delle applicazioni malevole nascondeva il più insidioso malware Joker, capace di leggere e inviare SMS, rubare contatti, acquisire screenshot, effettuare chiamate e persino registrare in automatico abbonamenti a servizi premium. Accanto a Joker figura la sua variante più evoluta, Harly, progettata per mascherarsi meglio durante i processi di revisione. Harly riesce a nascondersi all’interno di app innocue come giochi, wallpaper, editor di foto o torce, rimandando l’esecuzione del codice malevolo a fasi successive.

Un numero minore di app si è rivelato invece maskware, ossia software che si comporta come un’app legittima ma che in background compie azioni illegali, dal furto di credenziali e dati bancari al tracciamento di posizione e messaggi SMS. I criminali possono così usarlo anche come strumento per distribuire ulteriori malware. Anatsa, in particolare, ha abbandonato tecniche più datate, passando dal caricamento dinamico di codice remoto alla distribuzione diretta del payload, estratto da file JSON successivamente cancellati per ridurre le tracce. Inoltre, sfrutta archivi APK corrotti per eludere le analisi statiche, la decrittazione delle stringhe basata su DES, tecniche di rilevamento degli emulatori e il cambio periodico di pacchetti e hash. Il trojan si serve dei permessi di accessibilità di Android per autoattribuirsi privilegi estesi, offrendo poi alla propria infrastruttura server la possibilità di lanciare pagine di phishing su centinaia di applicazioni diverse, ora anche in Germania e Corea del Sud.

La campagna attuale segue altre ondate rilevate negli ultimi anni. A luglio, il gruppo ThreatFabric aveva scovato Anatsa celato dietro un finto PDF viewer su Google Play, con oltre 50.000 download. Nei mesi precedenti, lo stesso trojan si era diffuso con una strategia simile: nel maggio 2024 attraverso una finta app di lettura PDF e QR code (70.000 infezioni), nel febbraio 2024 con un’app per la pulizia del telefono e gestione PDF (150.000 download) e nel marzo 2023 sempre con un altro PDF Viewer (oltre 30.000 download).

Secondo il ricercatore Himanshu Sharma di Zscaler, è stato registrato “un notevole incremento di applicazioni adware sul Google Play Store, accanto a malware come Joker, Harly e i trojan bancari Anatsa. Al contrario, sono in diminuzione famiglie come Facestealer e Coper.” Le categorie di app più a rischio sono risultate quelle legate a strumenti e personalizzazione, che da sole hanno rappresentato oltre la metà degli inganni, seguite da intrattenimento, fotografia e design.

A seguito della segnalazione, Google ha rimosso tutte le 77 app incriminate dallo store. Gli utenti Android devono però mantenere attivo il servizio Play Protect, in grado di segnalare e rimuovere automaticamente applicazioni sospette. E nel caso di infezioni da Anatsa è necessario informare tempestivamente la propria banca per proteggere le credenziali di mobile banking compromesse e verificare eventuali operazioni sospette. Vale sempre, in generale, il suggerimento di affidarsi soltanto a sviluppatori noti e con buona reputazione, leggere attentamente più recensioni degli utenti prima di scaricare un’app e concedere esclusivamente i permessi indispensabili al funzionamento dichiarato.