Nel corso di un’analisi condotta su alcune popolari applicazioni per il dating, i ricercatori di Kaspersky Lab hanno fatto un’allarmante scoperta: alcune di queste trasmettono dati non crittografati su un protocollo HTTP non sicuro, rendendo esposti i dati degli utenti. Nel frattempo gli esperti di Lookout hanno smascherato l’app Dardesh, che fingendosi un servizio di messaggistica poteva in realtà spiare gli utilizzatori.
Partiamo dagli SDK, che potrebbero mettere a rischio i dati personali presenti in milioni di applicazioni: vediamo perché. Molte applicazioni utilizzano SDK pubblicitari di terze parti “già pronti”, in modo da risparmiare tempo e denaro, e questi raccolgono i dati degli utenti per mostrare annunci pertinenti, aiutando così gli sviluppatori a ricavare qualcosa dal loro prodotto.
Analisi più approfondite hanno però rilevato un problema: i dati vengono inviati non crittografati su protocolli HTTP, e ciò significa che non sono adeguatamente protetti quando viaggiano verso i server; i dati potrebbero essere intercettati o persino modificati, in modo da restituire annunci dannosi o non legittimi, che magari promuovono app con malware inclusi.
Gli esperti Kaspersky hanno identificato diversi domini che comunicano con tale protocollo, anche di noti network pubblicitari, e il numero di app che si appoggia a tali SDK sono diversi milioni. Molte trasmettono informazioni personali (tra cui nome, età e sesso, ma anche informazioni economiche, come il reddito), informazioni sul dispositivo o dati riguardanti la localizzazione.
infografica Kaspersky
Morten Lehn, General Manager Italy di Kaspersky Lab, è piuttosto allarmato dalla situazione:
“La portata di un problema che sembrava interessare solo alcuni casi specifici di applicazioni progettate in maniera poco sicura è devastante. Milioni di applicazioni includono SDK di terze parti, che espongono dati privati a facili intercettazioni e modifiche, portando a infezioni da malware, ricatti e altri vettori di attacco molto efficaci sui dispositivi.”
Il consiglio è quello di evitare di scaricare app che richiedano permessi poco coerenti con le loro funzioni, o comunque di bloccare tale autorizzazione: la maggioranza delle app non necessita di geolocalizzare gli utenti, ad esempio.
Nel frattempo i ricercatori Lookout hanno scovato un’app malevola sul Google Play Store. Si tratta della sedicente app di messaggistica Dardesh, che in realtà non faceva altro che spingere a scaricare una seconda app spyware per spiare gli utenti.
Prima che fosse rimossa dallo store, l’app Dardesh è stata scaricata da alcune centinaia di utenti, ingannati da una campagna pubblicitaria eseguita attraverso Facebook: questa risulta di fatto un “downloader” di un’altra fantomatica app di impostazioni, capace di raccogliere senza permesso diversi dati degli utenti, tra cui localizzazione, registrazione chiamate, video, audio, messaggi di testo, contatti e informazioni varie.
“La funzionalità di sorveglianza di Desert Scorpion” – così è soprannominato il malware – “si trova in un payload di secondo stadio che può essere scaricato solo se la vittima ha prima installato e interagito con l’applicazione di chat della prima fase”, sottolineano i ricercatori. Sembra che il target principale di questo malware fossero individui mediorientali, con interesse specifico verso gli utenti palestinesi. Dietro a tutto questo potrebbe risultare il gruppo denominato APT-C-23, visti i punti in comune con precedenti attacchi.
Google ha rimosso l’app dal Play Store e ha preso provvedimenti all’interno del servizio Play Protect. Fate sempre attenzione a ciò che scaricate, in particolare se proviene dall’esterno.