L’app “Blender Photo Editor-Easy Photo Background Editor” per Android è già stata scaricata e installata finora oltre 5.000 volte. Ma non è una vera app di photo editing, bensì un malware.
L’applicazione questa mattina è stata rimossa dal Play Store, ma l’elevato numero di download la rende una possibile bomba ad orologeria. “La presenza di app malevole sullo store ufficiale di Google, purtroppo, non rappresenta una novità”, sottolinea Pierluigi Paganini, analista di Cyber Security e Ceo Cybhorus.
Indice degli argomenti
Google Play Store ufficiale non significa “sicuro”
“In passato altri attori malevoli sono riusciti a pubblicare applicazioni contenenti codice utile a condurre molteplici azioni malevoli, dal furto di dati all’implementazione di frodi di vario genere come la registrazione all’insaputa degli utenti a servizi a pagamento”, continua Paganini, che mette in guardia dai rischi che si corrono scaricando queste applicazioni malevoli: “Nel caso specifico preoccupa la presenza di molteplici app simili nel comportamento scoperte nel corso degli ultimi giorni e scaricate da centinaia di migliaia di utenti. La circostanza suggerisce l’incapacità da parte dei servizi di scansione ed analisi del Play Store nell’individuare questa specifica minaccia”.
“Relativamente al malware”, prosegue Paganini, “possiamo dire che prende di mira essenzialmente gli utenti Facebook rubandone le credenziali e operando per loro conto qualora agli account siano associate carte di pagamento“.
Il trucco del nuovo malware per Android
“Il trucco è semplice quanto efficace”, ci illustra Paganini, “in fase di installazione dell’app è richiesta l’autenticazione attraverso Facebook, peccato che nel frattempo uno script è pronto a rubare le informazioni fornite dall’utente ed il token di accesso Facebook. Una volta preso possesso di un account Facebook, cui sono associate carte di pagamento, è possibile gestire campagne pubblicitarie mettendo tutte le spese di sponsorizzazione in conto alle ignare vittime”.
La lezione per gli utenti Android
“La lezione che ci portiamo a casa da questo caso”, conclude Paganini “è che è indispensabile installare solo app di cui abbiamo realmente bisogno perché ognuna di esse potrebbe essere sfruttata da un attaccante, ampliando la nostra superficie di attacco. Altra lezione, per coloro che non l’avessero ancora compreso in passato, è che un’app su uno store ufficiale non è necessariamente sicura e potrebbe quindi essere vettore di infezione”.
I dettagli sul malware per Android
A scoprire il trojan dietro l’app è stata Tatyana Shishkova, analista di Android Malware presso Kaspersky, e l’app malevola fino a questa mattina in download da Google Play store.
One more Trojan stealing Facebook credentials not yet removed from Google Play:https://t.co/zej5u3Chce
Upd Sep 16, 5,000+ installs
Same as https://t.co/T996eAYrj3 pic.twitter.com/fsb765inRt— Tatyana Shishkova (@sh1shk0va) October 11, 2021
Come tante altre app legittime, anche questa applicazione malevola richiede il login a Facebook. Ma il codice malevolo che si traveste da app, come abbiamo visto, è in grado di trafugare le credenziali Facebook di chi effettua il download, attraverso comandi nascosti nell’app, via JavaScript cifrato.
Inoltre il malware è simile ad un altro trovato in un altro photo editor, scoperto settimana scorsa da Maxime Ingrao di Evina. Una volta installato e richiesto il sign-in via Facebook, sfrutta il metodo di pagamento degli utenti – che ne fanno uso sul social network – per pagare la propria sponsorizzazione e quindi diffondersi ulteriormente. Un circolo vizioso, insomma.
Gli utenti devono imparare a scaricare solo applicazioni web di cui hanno davvero bisogno e di cui sono sicuri, in quanto anche quelle in download dagli store ufficiali dei vendor legittimi possono essere vettori di codici malevoli. Significa che ignari possessori di dispositivi Android possono effettuarne il download, illudendosi di essere in una “comfort zone” e invece possono essere derubati delle proprie credenziali di Facebook.
Credenziali che il malware, che si cela in “Blender Photo Editor-Easy Photo Background Editor”, sfrutta per propagarsi ulteriormente.
Infatti l’app malevola usa i metodi di pagamenti digitali, normalmente usati da alcuni utenti per sponsorizzare propri contenuti legittimi, per effettuare invece la propria sponsorizzazione e quindi diffondersi e moltiplicare il proprio download presso altri ignari utenti.
Ricordiamo infine, per completezza di cronaca, che Google Play Store ha rimosso app simili che avevano registrato fino a 500 mila installazioni: “Magic Photo Lab – Photo Editor” e “Pix Photo Motion Edit 2021”.
