State lontani da queste 13 app: sono infette

Anno nuovo, minacce vecchie: la società di sicurezza informatica McAfee ha scovato sul Play Store di Google altre 13 app infette, pericolose per chi le scarica, che avevano passato senza grossi problemi i controlli dello store di app per Android.

Ma non solo: tra queste app ce n’è persino una che era stata già “pizzicata” quattro anni fa e che è stata ripubblicata dopo un veloce restyling per camuffarla. Tutte queste app avevano al loro interno il trojan Android/Xamalicious, in grado di spiare a fondo il telefono e l’utente.

Quali sono le app infette

Come spesso capita quando vengono scoperte delle app infette, in mezzo c’è un po’ di tutto: dai giochi alle utility, dall’oroscopo alle app di grafica. E’ stato così anche questa volta e McAfee ha reso noto l’elenco delle app infette:

• Essential Horoscope for Android
• 3D Skin Editor for PE Minecraft
• Logo Maker Pro
• Auto Click Repeater
• Count Easy Calorie Calculator
• Sound Volume Extender
• LetterLink
• Numerology: personal horoscope & number predictions
• Step Keeper: Easy Pedometer
• Track Your Sleep
• Sound Volume Booster
• Astrological Navigator: Daily Horoscope & Tarot
• Universal Calculator

Tutte queste app erano presenti sul Play Store di Google e, molto probabilmente, lo sono ancora su altri store alternativi dove i controlli di sicurezza sono minori rispetto a quelli messi in atto da Google tramite il sistema del Play Protect.

Secondo McAfee il grosso dei download di queste app è avvenuto in Sud America, ma anche Stati Uniti ed Europa (Italia compresa) sono interessate dal problema.

Una di queste app, quella chiamata “LetterLink“, in realtà è una copia di “Cash Magnet” del 2019, una app truffa che usava i telefoni infetti per aprire in background banner pubblicitari.

Perché Android/Xamalicious è pericoloso

Android/Xamalicious è un trojan, un malware che si insinua nello smartphone adottando tecniche di crittografia per dissimulare la sua presenza e scavalcare i controlli di sicurezza.

Una volta all’interno del telefono, però, sfrutta il sistema delle autorizzazioni delle app Android per ottenere la possibilità di spiare il dispositivo e, di conseguenza, l’utente.

Ogni app per Android, anche quelle “pulite“, durante l’installazione chiede all’utente alcune autorizzazioni per accedere a parti del dispositivo che le servono per funzionare. Una app di foto, ad esempio, chiederà l’accesso alla fotocamera e allo spazio di archiviazione sul telefono. Le app infette, di solito, chiedono anche ciò che in teoria non dovrebbero chiedere e, se ottengono l’autorizzazione, iniziano a spiare l’utente.

McAfee fa l’esempio delle autorizzazioni richieste dall’app Numerology: personal horoscope & number predictions, tra le quali ci sono la possibilità di leggere e controllare ciò che appare sullo schermo e ciò che fa l’utente con le altre app, tramite la facoltà di “tracciare le tue interazioni con una ap o con i sensori hardware, e interagire con le app per tuo conto“.

E’ chiaro che, se un’app infetta ha queste autorizzazioni, il trojan che nasconde può fare tutto ciò che vuole sul telefono.

Come difendersi da Android/Xamalicious

Android/Xamalicious è stato scovato da McAfee in 13 app infette, pubblicate mesi fa sul Play Store e poi rimosse da Google, in seguito alla segnalazione dell’azienda di cyber security.

Il sistema Google Play Protect, in casi del genere, provvede a disinstallare autonomamente dai telefoni le app infette scoperte dopo la pubblicazione, senza bisogno dell’intervento dell’utente. Ma se l’utente ha scaricato l’app da altre fonti, ad esempio da store di terze parti, il Play Protect non funziona e l’app resta sul telefono.

Anche il Play Protect, comunque, ogni tanto non funziona al 100% e, per questo motivo, il nostro consiglio è sempre quello di controllare se sul proprio telefono è presente una delle app infette scoperte e, se c’è, rimuoverla prima possibile per poi installare un buon antivirus e fare una scansione approfondita di tutti i file sul device.