In genere, si tende a pensare che le applicazioni pubblicate sul Play Store di Android siano tutte sicure. Tuttavia, la capacità di occultamento e offuscamento di alcune di esse ha permesso in più casi aggirare i controlli di sicurezza digitale di Google, e di accedere alla pubblicazione, finendo nella disponibilità degli utenti. Esattamente come capitato con una campagna virale rendicontata dal team della giapponese TrendMicro.
I labs della security house nipponica hanno riscontrato che una delle categorie di trojan bancari più diffusi è quella dei dropper, in grado di rubare ogni sorta d’informazione (password, SMS magari per captare i codici d’autenticazione monouso, tutto quello che viene digitato sullo schermo, password, PIN, etc) per far danni sulle app di home banking, ma anche per aiutare nell’installare e diffondere malware altrui, configurandosi in tal modo come dei DaaP, dropper as a service. Ordunque, una variante di tali malware, battezzata DawDropper, è stata riscontrata in diverse app, alcune delle quali cloni di app note (mentre altre erano del tutto sconosciute).
Le app coinvolte, poco meno di una ventina, debitamente listate sul sito di TrendMicro, appartenevano a categorie comuni, basti pensare alle app che promettevano una VPN protetta gratuita, a diverse app di pulizia dai file inutili, a quelle per scansionare documenti o codici QR, agli editor di foto, ai registratori di chiamate e financo alle utility relative alle criptovalute.
Una volta installate, tali app pericolose, però, oltre a inviare a server remoti le informazioni bancarie di cui sopra, procedevano anche a usare il Firebase Realtime Database, un sevizio cloud di terze parti che, oltre a essere utile per eludere i rilevamenti, otteneva in modo dinamico l’indirizzo di scaricamento di ben noti payload malevoli, tra cui TeaBot, Octo (Coper, capace anche di disabilitare il Google Play Protect), Ermac, Hydra, scaricati da archivi situati presso GitHub.
In seguito alla segnalazione, Google ha rimosso tutte le app incriminate dal suo Play Store, anche se, per la rimozione in locale delle stesse, come in tanti altri casi, dovrà attivarsi l’utente colpito, eseguendo poi una passata di antivirus sul proprio terminale ripulito.