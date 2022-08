Torniamo ad occuparci di una tematica, sgradita, che spesso e volentieri si ritaglia uno spazio importante tra le nostre pagine: parliamo delle app Android malevole presenti sul Google Play Store.

Protagonista di questo articolo è un lettore di PDF e documenti, all’apparenza normalissimo e con persino una buona valutazione media su un numero ragionevole di recensioni, scaricato e installato dallo store ufficiale di Google oltre un milione di volte; oltre a compiere (anche male secondo alcune recensioni) il proprio dovere di lettore di PDF e di altri documenti, tuttavia, l’app in questione ha la brutta abitudine di mostrare annunci pubblicitari a schermo intero in modo piuttosto aggressivo, anche quando l’app non è in uso.

Annunci pubblicitari aggressivi: la causa è un lettore PDF scaricato dal Google Play Store

Come anticipato in apertura, un lettore PDF con buone recensioni (media voto superiore al 4) e oltre un milione di download dal Google Play Store nasconde un adware, termine che indica quei software gratuiti che presentano al proprio interno inserzioni pubblicitarie mostrate di proposito all’utente con finalità commerciali in maniera scorretta.

Il problema principale di quest’app, nota semplicemente come “Lettore PDF – visualizza i doc”, sviluppata da Fairy games (nome pacchetto: com.document.pdf.viewer) e reperibile da chiunque sul Google Play Store, è proprio legato al fatto che la pubblicità viene mostrata agli utenti in maniera aggressiva, anche quando l’applicazione non è in uso.

Se infatti l’app rientrasse tra quelle gratuite con pubblicità, ovvero quelle che ogni tot azioni mostrano un annuncio pubblicitario all’utente, nessuno avrebbe nulla da recriminare (gli sviluppatori devono pur sopravvivere). Tuttavia, il fatto di mostrare gli annunci pubblicitari al di fuori dell’app, a schermo intero, disturbando la normale esperienza di utilizzo del dispositivo, la fa rientrare di diritto nella cerchia degli adware (o, nel gergo tecnico relativo ad Android, Android/Adware.HiddenAds.PPMA).

Come è stato scoperto questo adware?

A scoprire il comportamento da adware di quest’app è stato il team di sicurezza di Malwarebytes, noto strumento per effettuare una scansione dello smartphone Android e rimuovere malware o adware dal dispositivo, anche se questi provengono (come in questo caso) da app installate tramite il Google Play Store.

Per “catturare” l’adware in tempo reale è stato necessario attendere un po’ di tempo: gli annunci, infatti, vengono mostrati all’utente circa un paio d’ore dopo rispetto all’esecuzione dell’app, in modo da non destare sospetti ed evitare che l’utente possa incolpare proprio il lettore PDF come causa degli strani annunci pubblicitari che compaiono a caso, invadendo qualsiasi schermata dello smartphone, e procedere con la disinstallazione.

L’utente che ha eseguito il test per cogliere in flagrante l’adware ha collegato il proprio smartphone Android ad un laptop con Android Device Monitor in esecuzione; questo software include LogCat, che registra tutte le attività su uno smartphone Android collegato.

Una volta installato “Lettore PDF – visualizza i doc” dal Google Play Store, poche ore dopo, Log Cat ha riportato nel registro la parola chiave START a precedere un SDK pubblicitario interno al lettore PDF (I/ActivityManager(765): START u0 {flg=0x14c00004 cmp=com.document.pdf.viewer/.ads.PPMActivity} from uid 10277).

Sbloccando lo smartphone, il registro si arricchisce ulteriormente (I/ActivityManager(765): Displayed com.document.pdf.viewer/.ads.PPMActivity: +942ms) e lo smartphone mostra un annuncio pubblicitario a schermo intero (quello mostrato di seguito).

Subito dopo, nel log compare un ulteriore SDK pubblicitario (I/ActivityManager(765): START u0 {flg=0x10000000 cmp=com.document.pdf.viewer/com.facebook.ads.AudienceNetworkActivity (has extras)} from uid 10277) e, sullo smartphone, viene visualizzato un nuovo annuncio, stavolta video.

Insomma, la storia continua e gli annunci pubblicitari vengono mostrati all’utente con una frequenza sempre crescente: addirittura la sequenza tende a complicarsi e, dopo un annuncio a schermo intero, c’è sempre un annuncio video. Per di più, ogni annuncio viene preceduto da un suono che viene emesso dallo smartphone.

Questo lettore PDF sfrutta una serie di SDK pubblicitari piuttosto comuni, oltre al proprio SDK personalizzato: in uno dei registri mostrati sopra, ad esempio, qualcuno di voi avrà notato la scritta “facebook.ads”. Che le app gratuite con annunci sfruttino svariati SDK pubblicitari, tra cui quello di Facebook e altri come ad esempio Applovin, è una cosa comune, purché questi vengano implementati in modo da mostrare annunci solo internamente all’app, giocando dunque in maniera leale.

Google Play Store: conviene sempre fare attenzione

Sebbene questa pratica sleale risulti scorretta e snervante per l’utente, tutto sommato può ritenersi meno grave rispetto ad altre problematiche come malware, trojan bancari e altri virus. Il Google Play Store, per quanto rappresenti di gran lunga il posto più sicuro per installare le app sui dispositivi Android, viene spesso aggirato e il team di sicurezza si ritrova a dovere rimuovere costantemente un gran numero di app malevole.

Secondo il team di Malwarebytes, quest’app in particolare presentava un paio di campanelli d’allarme (evidenziati dai riquadri rossi nell’immagine presnella prima parte dell’articolo): il primo è lo sviluppatore, ovvero Fairy games, che, stando al nome, dovrebbe sviluppare giochi e risulta strano che punti alle app generaliste; il secondo è la classificazione dei contenuti per utenti con età maggiore ai 17 anni (contenuti per adulti): perché un lettore di PDF e altri documenti avrebbe bisogno di una classificazione del genere? (A onor del vero, sul Google Play Store italiano la classificazione è PEGI 3).

Qualora abbiate installato questo lettore PDF, esistente da novembre 2021, il nostro consiglio è quello di procedere alla sua disinstallazione immediata. Parlando di lettori PDF, giusto per restare in tema con l’app incriminata, ci sono tantissime soluzioni alternative, sempre gratuite, ma sviluppate da realtà ben più note della Fairy games.

Potrebbe interessarti anche: Scoperte decine di applicazioni virus nel Google Play Store: ecco la lista per cancellarle