Una popolare app Android trasformata in malware: controlla il tuo telefono ora
La scorsa settimana abbiamo segnalato che Google aveva rimosso una popolare estensione di Chrome perché i nuovi proprietari l’hanno trasformata in un’app malware. In una ripetizione inquietantemente comune, più o meno la stessa cosa è successa con una popolare app Android, che è stata scaricata milioni di volte sul Play Store. Dal nulla ha iniziato a pubblicare annunci dannosi e ora non c’è più.
Malwarebytes documenta come gli utenti del suo forum hanno iniziato a riferire di aver visto strani annunci pop-up e reindirizzamenti di siti Web nei loro browser mobili poco più di un mese fa. Dopo un po’ di ficcanaso da parte del personale del servizio, è stato stabilito che un aggiornamento del 4 dicembre a "Barcode Scanner" di Lavabird LTD aveva iniziato a inviare annunci per server di sicurezza non necessari (e forse fraudolenti) ai suoi milioni di utenti.
Malwarebytes ha avvisato Google e l’elenco dell’app è stato rimosso dal Play Store, ma secondo quanto riferito, non è stato disinstallato da remoto dai telefoni degli utenti interessati (come nel caso dell’estensione Chrome). Presumibilmente, l’app è sfuggita alla suite di protezioni normalmente robusta del Play Store, Google Play Protect, installando il codice dannoso come aggiornamento innocuo invece di iniziare come un’app fasulla: era stata utilizzata innocua per anni prima dell’aggiornamento.
Se la tua app per lo scanner di codici a barre ha questo aspetto, disinstallala subito. Scanner di codici a barre
Non è chiaro cosa abbia spinto il cambiamento. Nel caso dell’estensione The Great Suspender, sono stati ovviamente i nuovi proprietari del servizio a guidarlo su una brutta strada. Per Barcode Scanner, non c’è stato alcun cambiamento evidente nella proprietà o nel comportamento degli sviluppatori che ha trasformato l’app dannosa. Se ti stai chiedendo quale specifica app canner sia, in precedenza era su https://play.google.com/store/apps/details?id=com.qrcodescanner.barcodescanner. Stranamente, lo sviluppatore di quell’app è ancora attivo sul Play Store, con un’app simile (non aggiornata da agosto) ancora attiva. È elencato con un’icona identica e l’errore di ortografia (forse deliberato?) di "scanner di codici a barre". Le sue informazioni sullo sviluppatore elencano il Maharashtra, in India, come località, con un indirizzo Gmail generico e una pagina Web vuota. Le versioni precedenti dell’app, apparentemente con lo stesso account sviluppatore, mostravano come sito Web una pagina WordPress innocua.
Per curiosità, ho installato la versione alternativa dell’app. Elenca una politica sulla privacy su quella pagina di WordPress che ha un disclaimer abbastanza meccanico sulla pubblicazione di annunci all’interno dell’app stessa, una pratica standard e accettabile. Non ho visto immediatamente il comportamento di dirottamento del browser descritto nel post del blog di Malwarebytes. Qualunque cosa sia andata storta con l’altra app, non sembra che stia succedendo al duplicato, anche se non è chiaro il motivo per cui Google non ha semplicemente distrutto tutti gli elenchi degli sviluppatori.
Gli sforzi di Google per mantenere Android e Chrome "puliti" finora sono stati generalmente ottimi, nonostante la loro intrinseca vulnerabilità come piattaforme aperte. Ma gli attori scurrili possono essere ingegnosi nei loro sforzi per aggirare la sicurezza e sembra che gli aggiornamenti alle applicazioni a lungo attendibili siano diventati una sorta di punto cieco. Google deve fare di meglio per proteggere i suoi utenti su tutte le piattaforme.
Fonte: Malwarebytes