2 years ago
168
Non c'è pace per gli utenti Android meno smaliziati, che sempre più spesso rischiano di scaricare applicazioni fake, o ancor peggio, contenuti arricchiti da software malevoli e il più delle volte senza accorgersene. Tra gli eventi più recenti di questo tipo, i ricercatori di sicurezza di McAfee hanno scoperto un set di 16 app clicker dannose che sono riuscite a intrufolarsi nel Play Store di Android. Le app clicker sono una categoria speciale di adware che caricano annunci in frame invisibili o in background, e si occupano di dare il via a click automatici per generare entrate ai propri operatori.
Gli effetti di tanto lavoro in background sui dispositivi sono solitamente associati a cali delle prestazioni, surriscaldamento dello smartphone o del tablet, maggiore utilizzo della batteria e utilizzo smodato dei dati mobili, o della rete WiFi. Ma c'è una buona notizia! E cioè che tutte le 16 app sono state rimosse dallo store Android dopo che McAfee le ha segnalate. Tuttavia, il lasso di tempo passato dalla pubblicazione alla rimozione ha comunque prodotto oltre 20 milioni di installazioni. La più pericolosa tra le app si chiamava DxClean ed è stata installato cinque milioni di volte prima di essere rimossa. L'aspetto peggiore e che ne ha causato il grande successo è che aveva una valutazione complessiva relativamente positiva, ossia di 4,1 stelle su 5.
DxClean, come suggerisce il nome, si presentava come un pulitore e ottimizzatore di sistema, promettendo esattamente il contrario di ciò che faceva, ossia di rilevare le cause dei rallentamenti del sistema e di interrompere i fastidi pubblicitari. Nel frattempo in background eseguiva esattamente le azioni opposte.
Ma come funzionano le app clicker di questo genere? Dopo essere state avviate queste sono in grado di scaricare la loro configurazione da una postazione remota tramite una richiesta HTTP e registrano un listener FCM (Firebase Cloud Messaging) per ricevere messaggi push.
Questi messaggi contengono istruzioni per i clicker, ad esempio quali funzioni chiamare e quali parametri utilizzare. Come spiega molto bene McAfee nel report. "Principalmente, si tratta di visitare siti Web che vengono consegnati dal messaggio FCM e di sfogliarli successivamente in background imitando il comportamento dell'utente".
La funzione di clic automatico è gestita dal componente 'click.cas', mentre l'agente che gestisce i servizi adware nascosti è 'com.liveposting'. Gli analisti di McAfee affermano che anche l'SDK di liveposting può funzionare da solo, possibilmente per creare solo impressioni pubblicitarie, ma le versioni recenti delle app presentano entrambe le librerie. Ecco la lista di app debellate, come da comunicazione McAfee.
La vittima non interagisce mai con i siti Web aperti ed è improbabile che si renda conto dei processi che avvengono in modo silente ma che nel contempo generano profitto per gli operatori remoti. Per fare in modo che l'utente non se ne accorga, di solito l'operazione dannosa non inizia mai nella prima ora che segue l'installazione dell'app, e ritarda il suo avvio quando l'utente sta utilizzando attivamente il dispositivo.
È realmente difficile accorgersi del funzionamento di queste applicazioni dannose, tuttavia i controlli da fare più frequentemente per scongiurare simili attività riguardano il consumo della batteria e l'utilizzo di Internet. Tutte le volte in cui il sistema è rimasto inutilizzato per un lungo periodo, non vi è alcuna giustificazione per un eventuale maggior consumo della batteria e/o dei dati mobili.
English (US)