Ben 22 applicazioni presenti sul Google Play Store sono state rimosse dopo aver scoperto che erano il fulcro di una truffa ai danni degli utenti che le hanno scaricate e degli inserzionisti che hanno investito negli annunci in-app. La scoperta è avvenuta solo dopo che le applicazioni sono state scaricate circa 2 milioni di volte.
Un truffa studiata nei minimi dettagli
Solo qualche giorno fa è stata scoperta una truffa molto simile, che però è ancora tutta da chiarire considerando che alcune delle parti accusate hanno replicato, confermando di essere estranee ai fatti. Praticamente nello stesso momento, Big G ha dovuto porre velocemente rimedio ad una situazione non dissimile, ma con in ballo un numero di applicazioni decisamente superiore, rimosse il 25 novembre dal market ufficiale.
I dati presenti nel report di Sophos – azienda leader nel campo della sicurezza informatica – riportano i nomi di ben 22 applicazioni contenti un malware denominato “Andr/Clickr-ad” ed un numero di download che si aggira intorno ai 2 milioni. Lo scopo della truffa era quello di generare falsi click su annunci pubblicitari, massimizzando i profitti generati dagli stessi. Tutto è stato studiato alla perfezione ed in modo – a tratti – malevolmente geniale.
Le applicazioni installate, di varia natura, erano costantemente in contatto con un server in grado di controllarne l’attività. Le comunicazioni avvenivano fra lo smartphone della vittima ed un dominio identificato come mobbt.com. Le app scaricavano costantemente pacchetti di informazioni che creavano le condizioni perfette per far si che l’utente cliccasse, in modo del tutto inconsapevole, costantemente su annunci pubblicitari. Per evitare che la vittima potesse interrompere l’attività, evidentemente molto redditizia, sono state adottate due misure:
- forzare la riapertura delle applicazioni anche quando il processo veniva interrotto;
- rendere i banner sui quali l’utente cliccava invisibili: le misure erano di zero pixel in altezza e larghezza.
Non solo, tanto per rendere più felici gli inserzionisti, i responsabili della truffa modificavano tramite codice la provenienza dei click cambiando modello di smartphone e sistema operativo. Così, in pochi istanti, un click proveniente da un device Android diventava di un iPhone. Per evitare che sorgesse qualsiasi sospetto, copie precise di molte delle app malevoli erano presenti anche sull’Apple App Store. In questo modo, i truffatori potrebbero anche aver avuto accesso a premi da parte degli investitori: le inserzioni pubblicitarie mostrate ad utenti iOS sono le più costose.
Sparkle FlashLight
La lista completa delle applicazioni rimosse dal Google Play Store è la seguente:
- Sparkle FlashLight
- Snake Attack
- Math Solver
- ShapeSorter
- Tak A Trip
- Magnifeye
- Join Up
- Zombie Killer
- Space Rocket
- Neon Pong
- Just Flashlight
- Table Soccer
- Cliff Diver
- Box Stack
- Jelly Slice
- AK Blackjack
- Color Tiles
- Animal Match
- Roulette Mania
- HexaFall
- HexaBlocks
- PairZap
Le gravi conseguenze
Come anticipato, a patire i danni dell’enorme truffa sono stati sia gli utenti che gli inserzionisti. I primi sono andati incontro ad un enorme vulnerabilità: si trattava a tutti gli effetti di una backdoor controllata da malintenzionati, che potenzialmente hanno potuto prelevare dati sensibili o installare altri contenuti pericolosi. Inoltre, le comunicazioni con il server avvenivano ogni 80 secondi, comportando così un consumo energetico e di traffico dati assolutamente non trascurabile.
Dal punto di vista degli inserzionisti il danno è chiaramente di natura economica: sono stati pagati gli ottimi risultati di compagne promozionali assolutamente false. Migliaia di click, provenienti addirittura da Android ed iOS, che in realtà non erano generati da utenti consapevoli. Gli annunci pubblicitari non venivano nemmeno mostrati.
Google cura, ma non previene (a sufficienza)
Si usa dire che “prevenire è meglio che curare”. Un proverbio che calza perfettamente con il tema della sicurezza informatica. In un sistema ideale, il controllo costante permette di avere a disposizione gli strumenti giusti per prevenire attacchi da parte di malware come quelli che – fin troppo spesso – vedono protagonista il market ufficiale di applicazioni per Android.
Google non riesce evidentemente a gestire correttamente la situazione a monte: non c’è sufficiente controllo quando le applicazioni vengono pubblicate sul Play Store. Probabilmente gli sviluppatori agiscono con troppa autonomia e poca supervisione da parte del colosso di Mountain View.
Tendenzialmente, attacchi di questo genere vengono fronteggiati correndo ai ripari dopo che sono stati scoperti, ovvero quando ormai hanno colpito per chissà quanto tempo. Per quanto riparare i danni sia importante, ancor più fondamentale è prevenirli. Sono passati 10 anni da quando il primo smartphone Android è stato svelato al mondo. Da allora sono stati fatti passi da gigante nello sviluppo dell’OS del robottino verde, eppure il Google Play Store continua ad essere – contemporaneamente – il posto più sicuro e quello più pericoloso da dove scaricare applicazioni.
