Nonostante si possa considerare il Google Play Store un luogo sicuro dal quale scaricare applicazioni affidabili, lo store Android continua ancora a essere bersaglio di campagne malevole capaci di ingannare milioni di utenti. I ricercatori di Zscaler ThreatLabz hanno infatti individuato ben 77 applicazioni contenenti diverse famiglie di malware che hanno totalizzato oltre 19 milioni di installazioni complessive.
Uno dei protagonisti di questa enorme ondata di malware è stato il trojan bancario Anatsa, nascosto all’interno di applicazioni apparentemente legittime. Tra queste, i ricercatori ne hanno individuato una in particolare, chiamata Document Reader – File Manager, che riesce a scaricare il payload soltanto dopo l’effettiva installazione dell’applicazione sullo smartphone, così da eludere i rigidi controlli di sicurezza messi in atto da Google.
Una volta attivo, questo virus Android sfrutta i permessi di Accessibilità tipici dei File Manager per ottenere privilegi estesi e mostra pagine di phishing per oltre 800 app bancarie e di criptovalute. Contrariamente a versioni più vecchie del malware, Anatsa è ora anche dotato di un modulo keylogger per il furto generico dei dati presenti nel dispositivo.
A rendere la situazione ancora più critica, secondo i ricercatori di ThreatLabz, è la rapida evoluzione del trojan: se in passato prendeva di mira 650 applicazioni finanziarie, nel corso degli ultimi mesi il numero è salito a 831, con una diffusione su larga scala che non riguarda più soltanto l’Europa ma anche Paesi asiatici come la Corea del Sud.
L’ondata di app infette è molto più estesa
Accanto ad Anatsa, i ricercatori hanno scovato altre famiglie di malware ben note agli addetti ai lavori. Il più diffuso è Joker, presente in quasi un quarto delle app analizzate. Questo malware è capace di leggere e inviare SMS, effettuare chiamate, estrapolare i numeri salvati in rubrica, iscrivere gli utenti inconsapevolmente a servizi premium e persino catturare screenshot di nascosto durante l’utilizzo dello smartphone.
È stata individuata anche una seconda variante dello stesso malware, chiamata Harly, che si maschera da applicazione legittima ma che nasconde il codice malevolo in profondità in modo da eludere i sistemi di sicurezza di Google. Già lo scorso marzo diversi ricercatori avevano scovato questo malware all’interno di applicazioni con migliaia di download all’attivo, come giochi, app per scaricare nuovi sfondi o per modificare le fotografie.
Oltre il 66% delle applicazioni scoperte da ThreatLabz conteneva invece adware, ossia un malware che mostra annunci indesiderati sui dispositivi, mentre una percentuale minore conteneva al loro interno dei maskware, ovvero applicazioni che imitano in tutto e per tutto il funzionamento di un software legittimo ma che in realtà raccolgono dati sensibili in background. Qualcosa di simile è stato scoperto anche recentemente con LunaSpy, un malware che si fingeva un antivirus per Android.
La buona notizia è che il colosso di Mountain View ha già rimosso tutte le app infette dal Google Play Store. Se notate comportamenti strani sul vostro dispositivo, la cosa migliore da fare è quella di controllare tutte le applicazioni installate e procedere alla rimozione di quelle più sospette, prediligendo le app provenienti da sviluppatori affidabili e conosciuti.
Per evitare di cadere in queste trappole in futuro, invece, i comportamenti da seguire sono sempre gli stessi: mantenere sempre attivo Google Play Protect sul proprio smartphone, scaricare le applicazioni soltanto da fonti affidabili evitando di installare APK scaricati dal web, leggere sempre le recensioni degli altri utenti sul Google Play Store e soprattutto concedere soltanto i permessi strettamente necessari.