Nel mondo dei device Android, il punto di riferimento ufficiale per scaricare delle applicazioni è il Play Store che, tuttavia, non è adottato da tutti i produttori, o per le difficoltà di ottenere la certificazione di Google, o per il desiderio di non essere vincolati ai Google Mobile Services, o per l’impossibilità di usare questi ultimi, causa restrizioni politiche (es. caso Google-Huawei, e ban USA). Di conseguenza, sono nati tanti piccoli store alternativi che, però, al pari di quello ufficiale, come dimostrato dai recenti casi di APKPure e AppGallery, sono spesso presi di mira dagli hacker.
Nelle scorse ore, la security house Kaspersky ha reso noto il fatto che i suoi antivirus abbiano bloccato tentativi di contagio su pressappoco 9.400 tra smartphone e tablet, causati da una versione (3.17.18) dello store APKPure nel quale un SDK adibito alla pubblicità era divenuto vettore del trojan Triada.
Quest’ultimo, nell’entrare in azione, si collegava a un server remoto di comando e controllo (C&C) cui trasmetteva le info del dispositivo, e dal quale riceveva altri malware da installare: inoltre, Triada si occupava anche di mostrare delle pubblicità sulla lock screen, toccando le quali l’utente finiva per abbonarsi a dei servizi premium, a tariffazione maggiorata. L’emergenza in questione risulta al momento essere rientrata, con la distribuzione della release correttiva (3.17.19) dello store APKPure.
Qualcosa di simile è accaduto anche al sempre più completo store di Huawei, AppGallery che, a “coronamento” della sua popolarità crescente, non s’è fatto mancare il suo primo attacco hacker, condotto dal redivivo virus Joker che, a inizio 2020, era stato rinvenuto in circa 1.700 app anche sul Play Store di Android. Nel caso specifico, il malware è stato individuato dalla security house Doctor Web in una decina di app (elencate sul sito dell’azienda) apparentemente normali, come tastiere virtuali, fotocamere, pacchetti di adesivi, messaggistica, launcher, quasi sempre create dallo sviluppatore Shanxi kuailaipai network technology, scaricate all’incirca 538mila volte, e col medesimo modus operandi.
Una volta installata una di queste app, partiva una connessione verso un server remoto dal quale veniva spedito il payload effettivamente malevolo, che iscriveva il malcapitato a servizi premium, intercettando e neutralizzando gli SMS di convalida inviati dal servizio, dopo aver ottenuto dall’utente l’autorizzazione ad accedere alle notifiche.
Avvertita della problematica, Huawei ha ripulito lo store dalle app untrici, assicurando interventi a che il tutto non si ripeta, sebbene non sia chiaro se, in App Gallery, siano presenti anche altre app adulterate da Joker.