Nell’era digitale, dominata da connessioni internet ad alta velocità e da dei dispositivi tecnologici dotati di chipset sempre più potenti, sta emergendo, soprattutto negli ultimi anni, un nuovo imperativo: proteggere le nostre informazioni personali. Ogni giorno siamo sommersi da una valanga di dati, da foto e video personali a documenti finanziari, passando per messaggi privati che non vogliamo in alcun modo che vengano rubati e diffusi senza il nostro consenso.

Questi preziosi frammenti della nostra vita digitale diventano spesso bersagli ambiziosi per malintenzionati e hacker. La sicurezza delle nostre informazioni non è quindi solo un lusso, ma una necessità essenziale. Ma cosa succede quando le barriere destinate a proteggere i nostri dati personali vengono eluse? Di recente il team di sicurezza di Google Cloud ha riconosciuto una tattica che mette a rischio milioni di utenti Android. Andiamo a vedere insieme di cosa si tratta.

Il versioning è una minaccia molto pericolosa per gli utenti

Il termine “versioning” potrebbe non dire molto al consumatore medio, ma rappresenta una minaccia insidiosa per la sicurezza. In breve, la tattica consiste nel rilasciare sul Google Play Store una versione incompleta dell’app che sembra a tutti gli effetti legittima e supera tutti i controlli di sicurezza imposti da Big G, tuttavia una volta installata, l’app riceve un aggiornamento da un server esterno che modifica il codice, innescando una serie di attività dannose sul dispositivo dell’utente, assolutamente ignaro di tutto ciò.

Questo metodo consente ai cybercriminali di bypassare i controlli di analisi del Play Store, riuscendo a installare carichi malevoli sotto forma di codice nativo, Dalvik o JavaScript sui dispositivi Android.

Il Dynamic Code Loading è una variante altrettanto subdola

Una variante di questa tecnica è nota con il nome di Dynamic Code Loading (DCL). In questo caso il codice malevolo non viene introdotto attraverso aggiornamenti, ma viene caricato direttamente da server controllati dai criminali, autori delle varie app in questione. Google ha ammesso che, nonostante ogni applicazione e patch inviata al Play Store subisca controlli rigorosi, alcune di queste minacce riescono a sfuggire attraverso il sistema appena descritto.

Queste attività, ovviamente, violano le linee guida relative al Comportamento ingannevole presente nelle policy di Google (qui maggiori informazioni in merito), e le app che si impegnano in tali pratiche possono essere classificate come backdoor (anche in questo caso, ulteriori dettagli li trovate a questo indirizzo).

Il malware SharkBot è un esempio concreto di come funzionano queste tecniche

Uno degli esempi più evidenti di questa tattica è il malware SharkBot. Identificato per la prima volta nel 2021 dal team di Threat Intelligence di Cleafy, SharkBot è in grado di effettuare trasferimenti di denaro non autorizzati. Per eludere i rigorosi controlli di Google, i creatori di SharkBot hanno pubblicato sul Google Play Store versioni con funzionalità limitate. Una volta scaricate, queste app iniziano a scaricare la versione completa e pienamente operativa del malware, mettendo a rischio migliaia di utenti.

Ciò che rende SharkBot ancora più insidioso – e di conseguenza pericoloso per gli utenti finali – è la sua capacità di camuffarsi come software antivirus o come utility di sistema, inducendo gli utenti a scaricarlo e installarlo quando, in realtà, si tratta dell’esatto opposto, ossia un programma pensato e creato per compromettere i dispositivi degli utenti e i dati contenuti al loro interno.

Scoperte nuove tecniche che eludono i controlli di sicurezza

Ad aggravare lo scenario già di per sé negativo, di recente è stata scoperta un’altra tecnica di offuscamento utilizzata per eludere i controlli di sicurezza: in breve, questa nuova modalità escogitata dai cybercriminali rende inefficaci gli strumenti di analisi di Google, impedendo la scansione dei pacchetti APK malevoli. Di conseguenza, questi APK dannosi possono installarsi sui dispositivi degli utenti, nonostante siano etichettati come non validi.

L’emergere di tattiche come il versioning e il DCL evidenzia la necessità di una maggiore vigilanza e di strumenti di sicurezza più avanzati. Se da una parte aziende come Google lavorano instancabilmente per rafforzare le loro difese, dall’altra gli utenti devono rimanere sempre ben informati e cautamente scettici riguardo alle applicazioni che decidono di scaricare e installare sui propri dispositivi tecnologici.

Forse ti sei perso: Altri due malware nel Google Play Store, ecco le app da rimuovere subito