Una nuova famiglia di adware è stata trovata in applicazioni disponibili sul Play Store di Google.
13 app con Adware
Lo rendono noto i ricercatori di Bitdefender in un recente post. Anche se non è una novità imbattersi in app in bundle con adware, in questo caso le 13 applicazioni scoperte, appartenenti alla categoria di utility comuni (quali lettori di musica e video, downloader e aggregatori di social media) e che propinano annunci altamente persistenti, sono accompagnate anche da oltre 1.000 recensioni positive che si sono rilevate in realtà false e provenienti potenzialmente dagli account fittizi della stessa rete di bot spam con il solo scopo di ottenere una più ampia diffusione con un maggior numero di download.
L’analisi condotta dai ricercatori di sicurezza oltre che aver trovato delle evidenze che potrebbero ricondurre tutte a un singolo sviluppatore, ha anche rivelato, in buona parte dei campioni analizzati, una particolare funzionalità SDK deputata a ottenere delle autorizzazioni intrusive per la privacy e che consentirebbero alle app di leggere notifiche, raccogliere dettagli di contatto, messaggi di testo e codici OTP per le autorizzazioni a più fattori (MFA).
Le evidenze
Diverse sono le evidenze che portano a pensare a un unico sviluppatore, anche se le app risultano pubblicate da nove differenti soggetti. Ciò potrebbe essere, in realtà, un escamotage per evitare un’eventuale rimozione qualora venisse rilevato un qualunque comportamento indesiderato riconducibile allo stesso sviluppatore.
Alcune coincidenze sono rappresentate dagli schemi molto simili negli indirizzi email usati per il contatto di supporto e le politiche sulla privacy, altre dallo stesso modello/format dei certificati di firma. Tutte le norme sulla privacy sono inoltre ospitate sullo stesso dominio “sites.google.com”.
Da un punto di vista strutturale del codice, le applicazioni presentano tutte lo stesso meccanismo di offuscamento e di crittografia delle stringhe. In particolare l’offuscamento viene applicato sia al codice vero e proprio dell’app che alla componente adware che concentra la sua attività nella visualizzazione di annunci Google e Facebook.
Un’ulteriore somiglianza infine si rileva nell’interfaccia utente delle app. Molte di loro condividono le stesse caratteristiche visive oltre che la stessa struttura.
Analisi del codice
L’analisi del codice condotta su una di queste applicazioni (“launchserfor.apps”), scelta perché presentava la maggior parte delle funzionalità SDK e risultava ancora disponibile sul Play Store al momento dello studio, ha rilevato principalmente che:
- Il codice è fortemente offuscato e le stringhe utilizzate vengono crittografate attraverso l’algoritmo di crittografia DES;
- in una versione di prova iniziale dell’adware, è stato scoperto che era stata invertita la funzione dei pulsanti “Accetta” e “Rifiuta” al momento della richiesta da parte dell’app di accedere alle notifiche;
- la versione SDK ha il codice per chiedere l’autorizzazione a leggere tutte le notifiche ed inviarle tempestivamente ad un server C2 (hxxps: //t.lineranalysis.com/api/ APClient3/);
- l’app invia anche informazioni generiche al server C2 come l’elenco delle applicazioni installate, l’ID Android del dispositivo, il nome del pacchetto, il tipo di rete, l’operatore sim, file di registro, timestamp e controlli di stato.
Telemetria e attribuzione
La telemetria che ha individuato una diffusione della campagna più marcata principalmente in India, Corea e Stati Uniti, mostra anche una presenza significativa in paesi europei trai i quali l’Italia.
Sebbene non si possa avere certezza assoluta, diversi elementi quali la lingua in uso nella maggior parte delle pagine sulla privacy e dei file log e la provenienza dei registrar di tutti i server C2 coinvolti riconducibile alla società Alibaba Cloud Computing, inducono ad attribuire la paternità della campagna a sviluppatori cinesi.
Adware: perchè fare attenzione
Come evidenziato dai ricercatori, anche se un adware aggressivo solitamente potrebbe non essere nocivo quanto un malware, la sua attività potrebbe comunque influire negativamente sull’esperienza complessiva dell’utente con il proprio dispositivo oltre che sulle prestazioni della batteria.
Risulta pertanto fondamentale evitare, in genere, di esporre i propri dispositivi a minacce online di qualsiasi natura (frodi, phishing, scam) utilizzando una soluzione di sicurezza adeguata anche per i dispositivi mobile (non solo desktop) e scaricando sempre le app dagli store ufficiali (che restano sempre e comunque i marketplace più sicuri e affidabili) prestando particolare attenzione alla veridicità e attendibilità delle recensioni prima di avviare qualsivoglia installazione.
Maggiori dettagli sugli IoC e sull’elenco completo delle app identificate durante l’indagine e segnalate, in modo responsabile e in tempi utili, al team di sicurezza di Google sono reperibili sul sito Bitdefender.
Qualora ci si accorgesse di aver installato una di queste applicazioni, si raccomanda di provvedere alla sua disinstallazione il prima possibile.