I ricercatori scoprono il malware HiddenAds in una dozzina di app Android distribuite sul Google Play Store

I ricercatori di McAfee hanno scoperto che una dozzina di app Android, distribuite su Google Play Store, avevano inviato annunci dannosi agli utenti. Ecco cosa è successo.

App dannose HiddenAds su Google Play Store

Malware HiddenAds nelle app Android

Questo non è il tuo malware medio, è molto subdolo. Una volta che un utente scarica un’app del genere sul proprio telefono Android, non è nemmeno necessario eseguirla. Il malware crea alcuni servizi che vengono eseguiti in background. Cambia il suo nome e l’icona nel cassetto delle app per rappresentare app come Impostazioni o Google Play.

I ricercatori scoprono il malware HiddenAds in una dozzina di app Android che erano sul Google Play Store

I servizi che i creatori di app dannose iniziano a visualizzare annunci costantemente sul telefono. Gli screenshot mostrano quelli che sembrano essere annunci interstitial (schermo intero), con vari pulsanti, tra cui un falso avviso che il dispositivo è a rischio. Questi sono solo modi per convincere l’utente a scaricare un’altra app.

nascosto annunci malware a schermo intero

Si scopre che i creatori delle app malware hanno utilizzato gli annunci di Facebook, che contenevano un collegamento al Play Store, per far sembrare l’app autentica. I dati di McAfee ci mostrano che diversi utenti si sono innamorati del trucco, molte di queste app hanno avuto oltre 1 milione di download. La maggior parte di questi utenti proveniva da Corea del Sud, Giappone e Brasile.

L’articolo di ricerca (individuato da Bleeping Computer ), spiega anche come funziona il malware. Utilizza il Contact Provider, la classe ContactsContract e Directory. Questa classe Directory contiene metadati speciali in un file manifest. Questi dati possono essere riconosciuti dal Contact Provider, che gli sviluppatori possono utilizzare per creare una directory personalizzata e per trasferire i dati tra il dispositivo e i servizi online.

Quando un’app viene installata o sostituita, Contact Provider ne controlla i metadati. È qui che viene archiviato il codice del malware HiddenAds che viene eseguito dopo l’installazione/sostituzione di un’app. Usando questo, crea un servizio dannoso per inviare annunci. Questo servizio si avvia automaticamente anche se è stato terminato. Quindi maschera l’app rinominandola e cambiandone l’icona.

Le app di pulizia del sistema, le app per la cura della batteria e gli ottimizzatori sono molto popolari su Google Play. Non hanno bisogno di tali app, non fanno nulla per migliorare le prestazioni del tuo dispositivo, ma la maggior parte degli utenti non lo sa. Leggono il titolo, o qualsiasi altra roba falsa che sia nella descrizione, e lo scaricano alla cieca.

Ecco un elenco delle app che avevano il malware HiddenAds.

  1. Pulitore di spazzatura
  2. EasyCleaner
  3. Dottore del potere
  4. Super pulito
  5. Completamente pulito
  6. Pulitore punta delle dita
  7. Pulitore rapido
  8. Mantenere pulito
  9. Ventoso pulito
  10. Tappeto pulito
  11. Fresco Pulito
  12. Pulito forte
  13. Meteora pulita

I risultati sono stati riportati dal Mobile Research Team di McAfee e Google ha rimosso le app incriminate dal Play Store.

Apple ha recentemente affermato che il malware era un problema serio su Android e quindi il caricamento laterale delle app è pericoloso. Non è vero, Apple sta cercando di trovare una scusa per aiutarla a perdere entrate dagli account sviluppatore e la commissione del 30% che guadagna da loro. Sebbene Android non sia completamente sicuro, Google ha inserito alcune barriere nel sistema operativo che ostacolano il sideload delle app. L’utente medio potrebbe non sapere nemmeno che è possibile scaricare app da altri negozi.

La più grande fonte di app Android dannose non è altro che il Play Store stesso, perché non è curato/rivisto correttamente, quindi la maggior parte degli utenti non sarebbe a conoscenza del fatto che stanno scaricando un’app dannosa.