Nuovo malware Android installato più di 3 milioni di volte da Google Play

Un ricercatore di sicurezza ha scoperto una nuova famiglia di malware Android sul Google Play Store che si è iscritto segretamente a servizi premium, secondo un rapporto di Bleeping Computer.

Il nuovo malware Android, soprannominato Autolycos, è stato scoperto da Maxime Ingrao, un ricercatore di sicurezza presso la società di cybersicurezza Evina. Il malware, identificato per la prima volta da Ingrao nel giugno 2021, ha infettato otto app sul Play Store che sono state scaricate oltre tre milioni di volte.

Tutte queste app malevole hanno attirato gli utenti a scaricarle offrendo funzionalità aggiuntive per la loro fotocamera o tastiera.

Ingrao ha sottolineato che queste app malevole chiedevano agli utenti l’autorizzazione per leggere i messaggi SMS sullo smartphone dopo l’installazione. Una volta che gli utenti hanno dato il permesso, hanno rubato dati.

A volte si sono persino iscritti a pacchetti premium delle app infette senza la conoscenza o il consenso del proprietario. Lo avrebbero saputo solo quando hanno ricevuto una fattura e una notifica che informava che l’importo era stato addebitato dalle loro carte di credito o debito.

Sebbene il ricercatore avesse segnalato il malware Autolycos a Google già nel giugno 2021, ci sono voluti circa sei mesi al gigante della ricerca per rimuovere sei delle app infette dal Play Store. Inoltre, le due app infette rimanenti sono state rimosse solo dopo che Bloomberg ha pubblicato il loro articolo sul malware Autolycos.

Di seguito è riportato un elenco completo delle app infette dal malware Autolycos e i suoi dettagli:

2. Vlog Star Video Editor:- 1 milione di download

3. Creative 3D Launcher:- 1 milione di download

4. Wow Beauty Camera:- 100.000 download

5. Gif Emoji Keyboard:- 100.000 download

6. Freeglow Camera 1.0.0:- 5.000 download

7. Coco camera V1.1:- 1.000 download

8. Funny Camera by KellyTech:- Oltre 50.000 download

9. Razer Keyboard & Theme by rxcheldiolola:- Oltre 50.000 download

Come funzionava il malware Autolycos?

“Autolycos è molto più discreto rispetto al noto malware Joker. Autolycos non avvia un browser invisibile come fa Joker. Il malware avvia tentativi di frode eseguendo richieste http senza utilizzare un browser,” ha scritto Ingrao in un rapporto che spiega come funziona il malware.

“Per alcuni passaggi, può eseguire url su un browser remoto e incorporare questi risultati nelle richieste http. Questa operazione è destinata a rendere più difficile per Google differenziare le app infette da Autolycos da quelle legittime. Questo è esattamente il motivo per cui Autolycos è rimasto non identificato per così tanto tempo e ha raggiunto oltre 3 milioni di download.”

I criminali informatici hanno promosso le app su diverse pagine Facebook e hanno pubblicato annunci su Facebook e Instagram per raggiungere un gran numero di nuovi utenti.

Le app che sono state promosse attraverso le campagne pubblicitarie sono state rese più visibili agli utenti, il che ha portato a un gran numero di utenti che hanno scaricato le app in un breve periodo di tempo, che alla fine hanno ottenuto un alto posizionamento nel Play Store.

Ad esempio, ci sono state 74 diverse campagne pubblicitarie su Facebook per promuovere l’app Razer Keyboard & Theme contenente Autolycos, secondo Ingrao. Alcuni hanno anche utilizzato bot per generare recensioni positive sul Play Store. Questa app è stata classificata al 5° posto nelle nuove app del Play Store in Nigeria e al 2° posto nella categoria delle app di personalizzazione.

Per rimanere al sicuro, controlla se il tuo smartphone Android ha alcune delle app infette sopra menzionate, in caso affermativo, eliminale immediatamente. Monitora i tuoi dati internet in background, la batteria consumata dalle app, mantieni attivo Play Protect e scarica il minor numero possibile di app sui tuoi smartphone.