Torniamo a parlare di sicurezza nel settore mobile, per quanto i classici consigli a favore della tutela degli utenti prevedano sempre l’indicazione di limitarsi al download di app tramite il Play Store, purtroppo anche lo store di Google non è immune dalla presenza di spyware, malware e compagnia.
Negli ultimi tempi, tanto per fare qualche esempio, abbiamo visto circa 300 app Android che nascondevano un malware per il furto di criptovalute, più di un milione di TV Box infettati, ma abbiamo visto anche una nuova variante di un software dannoso in grado di rubare il PIN dei dispositivi, un resoconto delle app infette scaricate dal Google Play Store, o ancora come il malware bancario FakeCall sia diventato più subdolo.
Oggi vediamo insieme l’ennesimo esempio di come software dannosi possano annidarsi all’interno degli store ufficiali, sia su Android che su iOS.
Segui Google Italia su Telegram, ricevi news e offerte per primo
Gli spyware si travestono da app comuni: BadBazaar e Moonshine colpiscono indisturbati
Per anni Apple e Google hanno sostenuto, senza troppe sfumature, che scaricare app dai rispettivi store ufficiali fosse il modo più sicuro per proteggere gli utenti da minacce informatiche; tuttavia le cose sembrano essere molto più complesse, come dimostra un nuovo rapporto del National Cyber Security Centre del Regno Unito.
Non è certo la prima volta che parliamo di malware e spyware annidati nelle app, ma ciò che emerge dal recente studio condotto dall’NCSC, in collaborazione con le agenzie di sicurezza informatica di Australia, Canada, Germania, Nuova Zelanda e Stati Uniti, getta un’ombra pesante sull’efficacia delle attuali misure di sicurezza applicate dagli store digitali di Apple e Google. A dispetto delle rassicurazioni ufficiali infatti, anche scaricando applicazioni da App Store o da Google Play Store è possibile incappare in spyware mascherati da app legittime, spesso ben realizzate e apparentemente innocue.
Al centro del rapporto ci sono due famiglie di spyware già note agli esperti di sicurezza: BadBazaar e Moonshine. Non si tratta di malware recenti né sconosciuti (erano già stati individuati e analizzati da aziende specializzate come Lookout, Trend Micro e Volexity) ma è il loro livello di mimetizzazione a preoccupare.
Queste app dannose, spacciandosi per strumenti quotidiani come app di messaggistica, lettori PDF o app religiose per musulmani e buddisti, riuscivano a passare i controlli di sicurezza e a nascondersi “in bella vista” sugli store ufficiali; una volta installate, aprivano la porta a un livello di sorveglianza profonda: microfono, fotocamera, messaggi, galleria fotografica, dati sulla posizione, tutto veniva potenzialmente monitorato e trasmesso a soggetti terzi, spesso legati a operazioni di spionaggio statale.
Secondo l’NCSC, gli obiettivi principali di questi attacchi non sono gli utenti comuni, bensì figure specifiche legate a cause considerate “sensibili” da alcuni Stati, in particolare dalla Cina. Nella lista figurano:
- attivisti per i diritti degli Uiguri e di altre minoranze etniche nello Xinjiang
- sostenitori dell’indipendenza tibetana o taiwanese
- difensori della democrazia ad Hong Kong
- appartenenti o simpatizzanti del movimento spirituale Falun Gong
In molti casi, le app erano progettate proprio per attirare questi utenti specifici, proponendosi come strumenti religiosi, mezzi di comunicazione o app di utilità popolare in determinate comunità; alcuni di questi software malevoli sarebbero rimasti disponibili per mesi, se non anni, prima di essere rimossi. A titolo di esempio, viene citata TibetOne, un’app iOS apparsa sull’App Store di Apple nel 2021.
Ad oggi, né Apple né Google hanno rilasciato dichiarazioni ufficiali in merito al contenuto del rapporto, un silenzio che suona quantomeno ambiguo, considerando che si parla di spyware approvati e distribuiti tramite gli stessi canali che le due aziende difendono con forza come i più sicuri in assoluto.
Come sempre, la prudenza è d’obbligo, anche se il download avviene da uno store ufficiale, è buona norma controllare attentamente lo sviluppatore dell’app prima dell’installazione; alcune app per esempio, usano nomi e icone che imitano quelle di Google o altre aziende famose, ma a uno sguardo più attento ci si accorge che non provengono da fonti attendibili.
Controllare le recensioni, verificare la data di pubblicazione, e soprattutto diffidare di app con pochi download o commenti sospetti sono pratiche essenziali per limitare i rischi. L’illusione che gli store ufficiali fossero una fortezza inespugnabile è ormai crollata e il tema della sicurezza, specie per chi è coinvolto in tematiche sensibili o politicamente rilevanti, resta più attuale che mai.