App

Per anni il Play Store ha ospitato dei malware che hanno aggirato anche Google, con risvolti da spy story

Per anni il Play Store ha ospitato dei malware che hanno aggirato anche Google, con risvolti da spy story
Vincenzo Ronca
Vincenzo Ronca

Una nuova storia di malware e Play Store è appena emersa online, frutto di un'accurata ricerca svolta dal team di sicurezza di Kaspersky Lab e riportata da Ars Technica. La novità consiste negli obiettivi che avevano i malware e le motivazioni che hanno portato alla loro creazione.

Secondo quanto riportato dalla ricerca di Kaspersky Lab, i malware in questione miravano alle informazioni personali degli utenti e sono stati identificati nei registri del Play Store relativi al 2018. Le attività registrate in correlazione con queste app risalgono almeno al 2016, dunque è praticamente certo che questa tipologia di app è rimasta attiva impunitamente per almeno un paio d'anni.

Come è stato possibile aggirare per così tanto tempo i filtri di sicurezza di Google? La struttura dei malware è stata progettata argutamente in due livelli: il primo consiste nell'esecuzione della versione di facciata del malware, per la quale nessun dato personale viene prelevato ma vengono identificati solo il sistema operativo e le app installate. Nel caso in cui il gruppo di hacking rileva qualche app o servizio interessante da sfruttare, entra in gioco il secondo livello: questo è quello per cui vengono rubati dati personali come indirizzi email, identificativi, spostamenti.

Al momento della richiesta di approvazione per la pubblicazione sul Play Store, il secondo livello dei malware veniva ovviamente reso inattivo. Lo stesso dicasi per i permessi di accesso richiesti all'utente: vengono palesati solo durante l'uso dell'app, e non al primo avvio. Questi "accorgimenti" hanno permesso lunga vita ai malware sul Play Store. Google li ha ormai rimossi, dopo l'avvertimento di Kaspersky Lab, ma altri app store di terze parti non l'hanno ancora fatto.

Chi c'è dietro lo sviluppo di tali malware? La risposta a questa domanda è interessante: secondo Kaspersky Lab e Ars Technica, ci sarebbe il gruppo denominato OceanLotus, il quale attaccherebbe governi asiatici, dissidenti, giornalisti e in particolare chi ha interessi avversi al Vietnam. In effetti diverse stringhe nel codice dei malware sono state rilevate in vietnamita. Altri report imputano allo stesso gruppo la creazione di malware per macOS e attività di cyber spionaggio.

Quali sono le app malware che erano presenti sul Play Store? Kaspersky Lab le ha identificate:

Nome del pacchetto Ultima presenza registrata sul Play Store
com.zimice.browserturbo 2019-11-06
com.physlane.opengl 2019-07-10
com.unianin.adsskipper 2018-12-26
com.codedexon.prayerbook 2018-08-20
com.luxury.BeerAddress 2018-08-20
com.luxury.BiFinBall 2018-08-20
com.zonjob.browsercleaner 2018-08-20
com.linevialab.ffont 2018-08-20

Commenta