Gli hacker, negli ultimi mesi, sono riusciti spesso a farsi beffe dei sistemi di sicurezza di Android, arrivando persino a popolare il Play Store del robottino googleiano di app compromesse, poi diventate veri e propri vettori di infezioni digitali. Per fortuna, Mountain View ha iniziato a prendere le misure, ai suoi avversari 2.0, mettendo a segno un bel colpo grazie al suo Play Protect che è riuscito a bloccare uno spyware, Tizi, che affliggeva i device Android dal lontano Ottobre del 2015.
A darne notizia è proprio lo staff di Play Protect, il sistema di sicurezza proattiva abilitato da Google sia sul Play Store che su tutti i device Android recenti: secondo i ricercatori di Big G, Tizi era presente in diverse applicazioni, per lo più diffuse in alcuni stati africani (Tanzania, Kenya, e Nigeria) che, una volta scaricate sullo smartphone, puntavano ad ottenere i diritti amministrativi di root (e quando non ci riuscivano, chiedevano all’utente di concedere diverse autorizzazioni), in modo da poter mettere in pratica da loro missione.
Quale? Ovviamente carpire i dati personali, ma non solo. Tizi, debitamente occultato in svariate app, ben pubblicizzate sia tramite un sito web ufficiale che grazie a diversi account social, era in grado di accedere alle app social più popolari, onde rubare preziosi dati sensibili ma, oltre a ciò, operava anche intercettazioni ambientali, essendo capace di registrare audio, o scattare foto, senza dare alcuna avvisaglia della cosa: inoltre, se ancora questo non bastasse, il medesimo malware era anche in grado di intercettare ed inviare gli SMS, accedere ai contatti della rubrica, agli appuntamenti del calendario, e di registrare le telefonate (anche via Skype, WhatsApp, e Viber).
I dati, una volta ottenuti ed arricchiti con le chiavi crittografiche delle reti Wi-Fi usate dalla vittima, venivano inviati ad un server di comando e controllo remoto, tramite protocolli sicuri come l’Https, o a basso impatto di banda come l’MQTT (usato sovente, in modo legittimo, da varia app di messaggistica).
Google, in ogni caso, è riuscita a fermare tale infezione, in circolazione dall’Ottobre 2015, limitandone la diffusione a “soli” 1300 device, ha già sospeso l’account dello sviluppatore delle app coinvolte, e ha debitamente aggiornato le definizioni virali del Play Protect, in modo che sia in grado di bloccare e rimuovere le app con tale virus. Inoltre, Mountain View ha diffuso un mini-decalogo che spiega come comportarsi nel caso di attacchi similari a quello testé esposto, evidenziando l’importanza di tenere aggiornato il device (Tizi sfrutta diverse vulnerabilità fixate sin dall’Aprile 2016), e di controllare che le autorizzazioni richieste dalle app che si installano siano complementari con lo scopo dell’app prescelta (una “torcia”, per esempio, non ha motivo alcuno di accedere ai contatti, o alla galleria delle foto).