Un celebre adagio della sicurezza mobile vuole che, per essere più sicuri, sia bene scaricare le proprie applicazioni dallo store applicativo ufficiale di Android: l’esperienza, tuttavia, insegna che tale app market sia ben lungi dall’essere inviolabile, con diverse app che, una volta ottenutane la pubblicazione, costituiscono un vero e proprio pericolo per coloro che le scaricheranno. Esattamente come avvenuto nei casi portati alla luce da Sophos e White Ops.
Il consueto giro esplorativo dei britannici della security house Sophos ha portato alla luce, nel Play Store di Android, 23 applicazioni di tipo “fleeceware” che, dopo aver finto di proporre i propri servizi gratuitamente per un certo lasso di tempo, avviavano silentemente un abbonamento a pagamento, con conseguenti addebiti estremamente costosi (basti pensare a Zynoa Wallpaper che, trascorsi 3 giorni, duranti i quali effettivamente forniva sfondi live anche 4K gratuiti, incominciava a incassare una fee settimanale di 89.99 dollari).
Le applicazioni in questione, pubblicate sul sito di Sophos, in alcuni casi riguardanti l’oroscopo, gli sfondi, editor per le immagini, programmi per recuperarle o convertirle, etc, hanno sfruttato una falla nelle policy di pubblicazione riguardanti il market di Android, e sono entrate in azione grazie a tecniche quali “Spam sub” (abbonamenti in massa dopo aver fatto credere all’utente che s’iscriveva a un servizio gratis) e “Blind Sub” (invito a provare un servizio con termini di utilizzo poco chiari che non palesano, alla fine del try period, l’avvio di un salato abbonamento).
Trattandosi di applicazioni al limite della legalità, volte a “spennare” l’utente incauto, le stesse risultano ancora presenti nel Play Store di Android che, invece, si è attivato nel risolvere la seconda minaccia, portata alla luce dalla security house americana White Ops, specializzata nel rilevare l’azione delle botnet. Nello specifico, gli esperti di sicurezza newyorkesi hanno scoperto diverse app, parti della botnet “Terracotta”, che ottenevano l’installazione sui device degli utenti, e la permanenza di diverse settimane sugli stessi, promettendo loro dei ricchi premi (cure dentali, scarpe, coupon, biglietti gratis, etc).
Nel frattempo, le app incriminate, per fortuna rimosse da Google in seguito alla segnalazione, caricavano via browser WebView, degli annunci pubblicitari (più di 2 miliardi di ads su soli 65 mila device infetti, nell’ultima settimana di Giugno), sui quali venivano simulati i click degli utenti, senza che questi se ne avvedessero, ma stressando continuamente l’hardware dei loro device (processore sempre al lavoro, dispositivo scaldato, batteria scaricata dopo poco tempo).