cerca CERCA
Giovedì 28 Marzo 2024
Aggiornato: 22:23
10 ultim'ora BREAKING NEWS

Comunicato stampa

Come un essere umano: il malware impara a bypassare i meccanismi anti-frode di Google Play Store

31 agosto 2016 | 14.29
LETTURA: 5 minuti

Come un essere umano: il malware impara a bypassare i meccanismi anti-frode di Google Play Store

Gli esperti di Kaspersky Lab hanno scoperto un trojan Android chiamato Guerilla, che prova a superare i meccanismi di protezione anti-frode di Google Play Store. Il malware usa un’applicazione client rogue Google Play che si comporta come se dietro ci fosse un vero umano. Questa falsa applicazione permette ai cyber criminali di condurre campagne pubblicitarie sospette usando dispositivi infetti per scaricare, installare, valutare e commentare le applicazioni mobile disponibili su Google Play. Il malware è in grado di ingannare i meccanismi di Google Play solo dai dispositivi su cui è stato effettuato il root.

Essendo una piattaforma con milioni di utenti e sviluppatori software, Google Play è un obiettivo attraente per i cyber criminali. Tra le altre cose, i criminali utilizzano il Google Play Store per condurre le cosiddette campagne Shuabang, molto diffuse in Cina. Si tratta di attività pubblicitarie disoneste volte a promuovere alcune app legittime assicurando loro i punteggi massimi, aumentando i tassi di download e postando commenti positivi su Google Play. Le app usate per condurre queste campagne pubblicitarie normalmente non costituiscono alcuna minaccia “standard” per il proprietario di un dispositivo infetto, come il furto di informazioni o di denaro, ma possono comunque causare danni: la capacità di scaricare ulteriori app sul dispositivo infetto comporta costi aggiuntivi per il traffico Internet del dispositivo mobile e, in alcuni casi, le app Shuabang sono in grado di installare di nascosto programmi a pagamento, insieme ad altri gratuiti, usando, come metodo di pagamento, la carta di credito registrata nell’account Google Play della vittima.

Per condurre queste campagne, i criminali creano numerosi falsi account Google Play o infettano i dispositivi degli utenti con malware dedicati, che conducono attività nascoste su Google Play in base ai comandi ricevuti dagli hacker.

Sebbene Google abbia forti meccanismi di protezione, che aiutano a rilevare e bloccare i falsi utenti per prevenire operazioni nocive, sembra che gli sviluppatori del trojan Guerrilla stiano cercando di aggirarli.

Il trojan viene installato nel dispositivo preso di mira attraverso il rootkit Leech – un malware che attribuisce a un cyber criminale i privilegi del dispositivo infettato. Questi privilegi permettono agli hacker di modificare a piacimento le informazioni sul dispositivo. Inoltre, in questo modo gli hacker ottengono l’accesso a username, password e token di autenticazione della vittima, che sono necessari affinché un’app comunichi con i servizi ufficiali di Google e sono inaccessibili per le comuni applicazioni su dispositivi di cui non è stato fatto il root. Dopo l’installazione, il trojan Guerrilla usa queste informazioni per comunicare con il Google Play Store come se fosse un’app autentica di Google Play.

I criminali fanno molta attenzione: usano le informazioni di autenticazione su un vero utente e fanno richieste da parte della falsa applicazione client a Google Play molto simili alle richieste effettuate dalle applicazioni reali.

Un’altra caratteristica insolita di questo trojan è che gli sviluppatori del malware hanno provato a imitare il modo in cui un utente reale interagisce con il Play Store. Ad esempio, prima di richiedere la pagina su cui si trova una particolare app, viene effettuata una ricerca per l’app di interesse, proprio come farebbe un essere umano.

“Guerrilla non è la prima app nociva che prova a sfruttare il Google Play Store, ma lo fa in un modo particolarmente sofisticato, che non abbiamo mai visto prima. Il pensiero dietro a questo metodo è chiaro: Google probabilmente può distinguere con semplicità le richieste fatte a Google Play dai robot; la maggior parte dei malware Shuabang che conosciamo si limitano infatti a mandare richieste per la pagina dedicata a una specifica app. Questo non è quello che farebbe una persona reale, quindi è facile per Google capire che la richiesta non viene da un utente autorizzato. Il malware che effettua una ricerca per un’app prima di visitare la sua pagina è più difficile da rilevare, in quanto è lo stesso comportamento della maggior parte degli utenti di Google Play. Tuttavia, è importante notare che questo malware è capace di aggirare i meccanismi di Google Play solo da dispositivi su cui è stato fatto il root, il che ci ricorda nuovamente dell’importanza di evitare smartphone e tablet Android rootati”, ha commentato Nikita Buchka, esperto di sicurezza di Kaspersky Lab.

Le soluzioni Kaspersky Lab rilevano il malware Guerilla come: Trojan.AndroidOS.Guerrilla.a.

Per proteggere se stessi e i propri dispositivi dal malware che prende di mira i device basati su Android, gli esperti di Kaspersky Lab consigliano di:

• Limitare le installazioni di app da fonti diverse dall’app store ufficiale;

• Usare soluzioni di sicurezza affidabili per difendere i dispositivi Android dai malware e da altre minacce informatiche;

• Non fare il root dei dispositivi Android.

Per avere maggiori informazioni sui metodi usati dai cyber criminali per sfruttare Google Play Store, è possibile leggere il blog post su Securelist.com.

Informazioni su Kaspersky Lab
Kaspersky Lab è un’azienda di sicurezza informatica a livello globale fondata nel 1997. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: www.kaspersky.com/it.

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

Riproduzione riservata
© Copyright Adnkronos
Tag
Vedi anche


SEGUICI SUI SOCIAL



threads whatsapp linkedin twitter youtube facebook instagram
ora in
Prima pagina
articoli
in Evidenza