Ogni giorno vengono continuamente installate milioni di applicazioni, il 90% delle quali sono gratuite. Per finanziare le proprie risorse, solitamente gli sviluppatori inseriscono delle pubblicità (ads) all’interno del software distribuito. A questo scopo Android rende disponibili a tutti gli sviluppatori una libreria di Ads predefinite innocue e che non influenzano le funzionalità dell’applicazione o del telefono. Nonostante le continue misure di sicurezza intraprese dal Google Play Store contro numerose app non sicure, pare che alcune di esse riescano a spiare e raccogliere dati sensibili degli utenti. Per ora le app infette confermate sono state più di 500, tutte disponibili gratuitamente sullo Store android.
La scoperta
Gli eroi che hanno portato alla luce questa verità sono membri di un team di sicurezza informatica denominato Lookout. Il gruppo ha scoperto l’esistenza di un kit di sviluppo software che inviava spyware ai dispositivi Android, nome in codice “Igexin”. In pratica questo malware forniva una libreria di Ads maligna, contenente materiale potenzialmente dannoso per il telefono. Il segnale inviato dagli spyware è stato localizzato in Cina e proveniva da più di 500 app, tra cui:
- Giochi per bambini con più di 100 milioni di download
- App meteo con più di 5 milioni di download
- Applicazioni di fotoritocco con più di 5 milioni di download
- App di internet radio con più di 1 milione di download
- Altre app di vario genere legate alla salute, benessere, educazione ed emoji
Come funziona il malware Igexin
Il kit di programmazione maligna Igexin invia pubblicità mirata agli utenti. Per riuscirci raccoglie e analizza i dati presenti sul cellulare Android. Oltre a spiare per ottenere una maggiore remunerazione dalle pubblicità, Lookout ha scoperto che le applicazioni infette da Igexin ricevevano veri e propri malware da indirizzi IP non sicuri.
“Abbiamo osservato che un’app scaricava una enorme quantità di file criptati dopo aver inviato una serie di richieste ad un REST API all’endpoint http://sdk[.]open[.]phone[.]igexin.com/api.php , usato dall’Igexin ad SDK”. Spiega uno dei ricercatori del team con un post nel loro blog. “Questo tipo di traffico solitamente è il risultato di malware che scaricano ed eseguono codici maligni dopo una installazione pulita di un’app, in modo da evadere i controlli di sicurezza del Google Play Store”.
Una volta che il cellulare è infetto, il malware può raccogliere i log delle attività dell’utente e addirittura fargli installare dei plugin che possono registrare le chiamate telefoniche o rivelare informazioni sull’identità e su dati sensibili.
Come proteggere i nostri Android dal malware?
Google ha immediatamente rimosso dal Play Store tutte le applicazioni che utilizzavano questo kit di sviluppo contraffatto, quindi per ora non dovete avere paura di installare nuove app. Chi invece è già stato infettato da Igexin deve assicurarsi di avere installato Google Play Protect. Questo vero e proprio antivirus è stato sviluppato direttamente da Google per rimuovere i malware e spyware presenti sul sistema Android. La compagnia californiana ha assicurato che il suo software è in grado di riconoscere e rimuovere anche il malware Igexin.
Altro consiglio è quello di tenere il proprio dispositivo sempre aggiornato all’ultima versione. Gli aggiornamenti di sistema il più delle volte hanno il compito di coprire le falle del sistema operativo. E’ proprio così che i malintenzionati rubano informazioni e danneggiano i nostri amati smartphone.
La stessa compagnia di sicurezza informatica Lookout ha scoperto un nuovo malware chiamato Xavier, presente in più di 800 app dello Store. Insomma, come confermano gli ultimi eventi Xavier e Igexin, il negozio digitale di Google non è immune da infezioni esterne. D’altro canto c’è da dire che la stessa compagnia pone molte risorse per fornire la massima sicurezza ai suoi utenti, agendo sempre in maniera rapida.
È probabile che nel futuro prossimo altri malware verranno diffusi con la stessa tecnica di Xavier e Igexin, quindi si consiglia di tenere installato e aggiornato un buon antivirus sul proprio smartphone Android.