Recensioni false con l’app malevola Shopper

Kaspersky ha individuato un’app di tipo Trojan che incrementa il numero di installazioni di app per lo shopping online e inganna utenti e inserzionisti

 

 E’ tempo di saldi ma utenti e brand devono essere molto più prudenti. Quando si tratta di scegliere un negozio online al quale affidarsi, infatti, ci si basa in generale sulle recensioni disponibili, mentre i retailer scelgono di destinare budget sempre più importanti ad attività di promozione e pubblicità. Secondo i ricercatori di Kaspersky, consumatori e retailer non possono fidarsi del tutto di ciò che vedono online.

Questo perché è stata individuata una nuova applicazione malevola in grado non solo di incrementare le valutazioni e di influire sul numero delle installazioni delle app per lo shopping online più note, ma anche di diffondere annunci pubblicitari che possono infastidire gli utenti.

Questo Trojan, soprannominato “Shopper”, ha attirato per la prima volta l’attenzione dei ricercatori per un uso esteso delle modalità di offuscamento e per lo sfruttamento dell’Accessibility Service di Google. Questo servizio consente agli utenti di impostare un comando vocale per la lettura dei contenuti delle app e di automatizzare l’interazione con l’interfaccia utente.

Funzioni di certo utili ma che nelle mani di cybercriminali possono trasformarsi in una seria minaccia per i proprietari dei dispositivi.

Interazione illimitata con le applicazioni

Dopo aver ricevuto l’autorizzazione all’utilizzo del servizio, il malware può arrivare ad interagire con l’interfaccia del sistema e con le applicazioni in modo quasi illimitato.

Può ad esempio acquisire i dati che compaiono sullo schermo, può premere tasti e comandi, perfino simulare i gesti dell’utente stesso.

Le modalità di diffusione di questa app malevola non sono ancora note, ma i ricercatori di Kaspersky ipotizzano che possa essere scaricata dai proprietari dei dispositivi a partire da annunci fraudolenti o da app store di terze parti mentre si cerca di fare il download di applicazioni legittime.

La app finge di essere un’applicazione di sistema e utilizza un’icona chiamata ConfigAPKs per non farsi notare dall’utilizzatore del dispositivo.

Dopo lo sblocco della schermata, l’app si avvia, raccoglie informazioni dal dispositivo della vittima e le invia direttamente ai server degli atttaccanti.

A quel punto il server rimanda i comandi che l’app stessa deve eseguire. A seconda dei comandi ricevuti, l’app è in grado di:

  • Utilizzare l’account Google o Facebook del proprietario del dispositivo per procedere con la registrazione ad applicazioni per lo shopping online e l’intrattenimento più popolari, come AliExpress, Lazada, Zalora, Shein, Joom, Likee e Alibaba;
  • Lasciare false recensioni delle app di Google Play per conto del proprietario del dispositivo;
  • Verificare i diritti di utilizzo dell’Accessibility Service. Se l’autorizzazione non viene concessa, può procedere con l’invio di una email di phishing con la richiesta;
  • Disattivare Google Play Protect, la suite di servizi di sicurezza che esegue controlli sulle applicazioni prima che vengano scaricate dallo store Google Play;
  • Procedere con l’apertura di pagine web a partire da link ricevuti dal server remoto in finestre di navigazione non visibili e nascondersi dal menu delle app dopo lo sblocco di diverse schermate;
  • Mostrare inserzioni pubblicitarie quando si sblocca lo schermo del dispositivo e creare dei controlli grafici (label o widget) per gli annunci pubblicizzati direttamente nel menu delle applicazioni;
  • Scaricare le applicazioni dal sito Apkpure[.]com e installarle;
  • Aprire e scaricare le applicazioni pubblicizzate su Google Play;
  • Sostituire i controlli grafici delle applicazioni già installate con quelle che rimandando a pagine web pubblicizzate.

In pratica, quello che si delinea è uno scenario da brivido.

Tra ottobre e novembre 2019, evidenzia Kaspersky, il maggior numero di utenti colpiti dal Trojan-Dropper.AndroidOS.Shopper è stato registrato in Russia, con una percentuale impressionante, pari al 28,46% di tutti gli utenti interessati alle app di shopping situati nel paese. Quasi un quinto (18,70%) delle infezioni si è verificato in Brasile e il 14,23% in India.

“Al momento i pericoli reali legati a questa app malevola sono limitati all’apparizione di annunci pubblicitari indesiderati, alla pubblicazione di recensioni false e alla comparsa di valutazioni pubblicate a nome degli utenti vittime del Trojan. Un giorno, però, i creatori di questo malware potrebbero decidere di utilizzarlo per altri scopi”, ha commentato Igor Golovin, Malware Analyst di Kaspersky.

In questo quadro preoccupante una notizia positiva è che le soluzioni Kaspersky, osserva l’azienda di security, sono in grado di rilevare e bloccare con successo il malware Shopper segnalandolo come Trojan-Dropper.AndroidOS.Shopper.

Controllare  i permessi di accesso alle applicazioni

In ogni caso, per ridurre i possibili rischi legati a malware come Shopper, Kaspersky consiglia agli utenti di:

  • Prestare attenzione alle applicazioni che richiedono l’utilizzo dell’Accessibility Service, nel caso in cui si tratti di app non destinate ad un uso con questo tipo di funzioni.
  • Controllare sempre i permessi legati alle applicazioni, per avere piena visibilità di ciò che una app installata può fare o meno.
  • Non procedere con l’installazione di app provenienti da fonti non attendibili, anche se pubblicizzate in modo massiccio, e bloccare, dalle impostazioni del proprio smartphone, l’installazione di programmi provenienti da fonti sconosciute.
  • Utilizzare soluzioni di sicurezza mobile affidabili e solide, (ad esempio suggerisce l’azienda, Kaspersky Internet Security for Android, che aiuta a identificare le richieste potenzialmente pericolose o discutibili effettuate da un’applicazione scaricata).