Particolari tipi di programmi chiamati “Loader“, mandati da qualche malintenzionato, che sono in grado di iniettare Trojan nelle applicazioni Android vengono scambiati nel mercato clandestino criminale online (per farla breve: nel Deep Web, per non dire nel dark) per un valore fino a 20.000 dollari in modo da eludere i controlli di sicurezza di Google Play Store.
Da dove escono questi loader e come funzionano
“Le categorie di applicazioni più popolari per nascondere malware [quindi questi loader] e software indesiderati includono tracciatori di criptovalute, applicazioni finanziarie, scanner di codici QR e persino app di incontri“, ha dichiarato Kaspersky in un nuovo rapporto basato su messaggi pubblicati sui forum online tra il 2019 e il 2023.
Le applicazioni Dropper sono il principale mezzo per questi malintenzionati che cercano di introdurre malware tramite il Google Play Store. Tali applicazioni spesso si mascherano da app apparentemente innocue, con aggiornamenti malintenzionati introdotti dopo il processo di revisione e le applicazioni che hanno accumulato un significativo numero di utenti.
Ciò viene ottenuto utilizzando un programma di caricamento che è responsabile dell’inserimento di malware in un’app pulita, che viene poi resa disponibile per il download dal mercato delle applicazioni. Gli utenti che installano l’app modificata sono invitati a concedere permessi invasivi per facilitare attività maliziose.
Le applicazioni loader (e non solo), in alcuni casi, incorporano anche funzionalità anti-analisi per rilevare se vengono analizzate o installate in un ambiente sandboxed e, in tal caso, interrompere le loro operazioni sui dispositivi compromessi.
Come altra opzione, i malintenzionati possono acquistare un account sviluppatore di Google Play, sia hackerato che appena creato dai venditori, per un valore compreso tra 60 e 200 dollari, a seconda del numero di app già pubblicate e dei download effettuati.
Gli account sviluppatore di app che non dispongono di password forti o di protezioni a due fattori (2FA) possono essere facilmente violati e messi in vendita, consentendo ad altri malintenzionati di caricare (tramite loader, come dice la parola stessa, del resto) malware su applicazioni esistenti.
Una terza alternativa è l’uso di servizi di APK binding, che sono responsabili di nascondere un file APK maligno in un’app legittima, per distribuire il malware attraverso testi di phishing e siti web dubbi che pubblicizzano giochi e software crackati.
I servizi di binding, a differenza dei loader, costano meno in quanto le app infette non sono disponibili tramite Google Play Store; c’è da dire che è importante notare che la tecnica è stata utilizzata in passato per distribuire Trojan bancari per Android come SOVA e Xenomorph.
Altri servizi illeciti offerti in vendita sui mercati del crimine informatico includono l’oscuramento di malware ($30), gli inject per il web ($25-$80) e i server privati virtuali o VPS ($300), questi ultimi possono essere utilizzati per controllare dispositivi infetti o per reindirizzare il traffico degli utenti.
Inoltre, gli attaccanti (gli hacker, detto rozzamente) possono acquistare installazioni per le loro app Android (legittime o meno) tramite Google Ads a un costo medio di 0,5 dollari. I costi di installazione variano in base al paese di destinazione.
Per mitigare i rischi causati dal malware per Android, si consiglia agli utenti di evitare di installare app da fonti sconosciute, di esaminare attentamente i permessi dell’app e di mantenere i propri dispositivi aggiornati.
Come NON incappare in questi loader malevoli
In conclusione, è importante che tu sia consapevole dei rischi associati all’installazione di app da fonti sconosciute e che tu esamini attentamente i permessi richiesti dalle app. Inoltre, è sempre consigliabile mantenere il tuo dispositivo Android aggiornato per proteggerti da eventuali vulnerabilità note.
Ricorda che i criminali informatici stanno costantemente cercando nuovi modi per diffondere malware sui dispositivi Android, quindi la tua attenzione e cautela possono fare la differenza per mantenere il tuo dispositivo al sicuro.
