App Android con 1,5 milioni di installazioni scoperte a inviare dati degli utenti in Cina

I ricercatori di sicurezza di Pradeo hanno rilevato due app spyware che si spacciano per applicazioni di gestione file nascoste nel Google Play Store e che colpiscono fino a 1,5 milioni di utenti Android.

Secondo l’azienda di sicurezza mobile, le due app dannose sono programmate per avviarsi senza l’interazione degli utenti e raccogliere silenziosamente dati sensibili degli utenti per inviarli a server dubbi situati in Cina.

Le due app spyware sono rispettivamente File Recovery e Data Recovery,

(com.spot.music.filedate), con oltre 1 milione di installazioni, e File Manager (com.file.box.master.gkd), con oltre 500.000 installazioni.

Entrambe le applicazioni provengono dallo stesso sviluppatore e presentano comportamenti dannosi simili.

Come funzionano queste app?

Le due app spyware sono state scoperte dal motore di analisi comportamentale di Pradeo nel Google Play Store, dove queste app affermano di non raccogliere dati dai dispositivi degli utenti. Affermano anche che, se vengono raccolti dati, gli utenti non possono richiedere la cancellazione dei dati.

Tuttavia, contrariamente alle affermazioni nel Google Play Store, queste due app mobili sono state trovate a raccogliere i seguenti dati sensibili degli utenti e a inviarli a più server situati principalmente in Cina:

• Liste di contatti degli utenti dal dispositivo stesso, account email connessi e reti sociali

• Immagini, audio e contenuti video compilati nell’applicazione

• Posizione reale dell’utente in tempo reale

• Codice del paese mobile

• Nome del fornitore di rete

• Codice di rete del fornitore della SIM

• Numero di versione del sistema operativo

• Marca e modello del dispositivo

Ciò che è particolarmente preoccupante è che ciascuna applicazione ha effettuato più di cento trasmissioni dei dati raccolti, il che rappresenta una quantità significativa per attività dannose.

Per aumentare il loro successo, gli sviluppatori di queste app spyware hanno utilizzato tecniche subdole per apparire più affidabili e performanti, rendendo difficile trovarle e disinstallarle.

“Entrambi gli spyware mostrano una grande popolazione di utenti, eppure non hanno recensioni. Crediamo che l’hacker abbia utilizzato una fattoria di installazione o emulatori di dispositivi mobili per falsificare quei numeri, rendendo così le sue applicazioni meglio classificate nelle liste di categoria dei negozi e aumentando la loro apparente legittimità,” ha scritto Roxane Suau, la ricercatrice di Pradeo che ha scoperto lo spyware in un post sul blog.

Inoltre, entrambe le app sono state trovate ad avere permessi avanzati che consentono loro di riavviare i dispositivi e poi avviarsi ed eseguirsi automaticamente, senza interazione dell’utente, e di nascondere le loro icone sulla schermata principale, rendendo difficile per gli utenti ignari disinstallarle.

Pradeo ha avvisato Google della scoperta prima di pubblicare il post sul blog. Al momento della scrittura, entrambe le app spyware sono state rimosse dal Google Play Store.

“Queste app sono state rimosse da Google Play. Google Play Protect protegge gli utenti da app note per contenere questo malware sui dispositivi Android con Google Play Services, anche quando quelle app provengono da altre fonti al di fuori di Play,” ha dichiarato Google in una nota a BleepingComputer.

Se hai installato una delle app sopra menzionate sul tuo dispositivo, si consiglia di trovarle e eliminarle immediatamente dal tuo dispositivo. Inoltre, puoi seguire i suggerimenti qui sotto per mantenerti al sicuro:

• Assicurati di eseguire l’ultima versione di Android sul tuo dispositivo.

• Non scaricare app che non hanno recensioni nonostante migliaia di utenti.

• Leggi le recensioni, se ci sono, per comprendere la natura legittima dell’app.

• Leggi sempre attentamente i permessi prima di accettarli.

• Disinstalla le app dal tuo dispositivo che non sono più necessarie.

• Fai attenzione alle app che richiedono più permessi di quanti ne necessitano, poiché potrebbero essere dannose.

• Scarica solo software pubblicato da sviluppatori affidabili.