Continua la presenza su Google Play Store di app dannose, l’ultima in ordine di tempo è FlixOnline scoperta dai ricercatori di Check Point Software Technologies (CSPT): camuffata per sembrare l’app Netflix, è in realtà un malware che si diffonde su WhatsApp e risponde ai messaggi in arrivo per conto delle sue vittime. Il rischio è quello di essere soggetti ad attività dannose fino al furto di credenziali.
I ricercatori di CPST hanno comunicato la scoperta a Google che ha successivamente rimosso l’app dannosa. Tuttavia, nel corso di due mesi dalla prima pubblicazione nello store di Google, l’app FlixOnline è stata scaricata circa 500 volte, producendo probabilmente una pericolosa reazione a catena.
I risultati della ricerca sono stati condivisi anche con WhatsApp, anche se non c’è alcuna vulnerabilità da parte di quest’ultima entità.
Indice degli argomenti
Caratteristiche del malware e i messaggi ingannatori
Il comportamento del malware, a partire dall’installazione di quella che la vittima crede essere una lecita app di Netflix, passa per:
- “ascolto” delle nuove notifiche su WhatsApp;
- risposta ad ogni messaggio WhatsApp che la vittima riceve con una risposta preimpostata, ricevuta da un server remoto.
Questo tipo di attività rappresenta una novità: quella di dirottare la connessione a WhatsApp acquisendo notifiche, insieme alla possibilità di eseguire azioni predefinite, come “ignora” o “rispondi” tramite il gestore delle notifiche.
Il messaggio ingannevole relativo a Netflix, inviato dal malware come risposta automatica ai messaggi WhatsApp in entrata, è pensato per attirare altre vittime con l’offerta di un servizio Netflix gratuito:
2 mesi gratis di Netflix Premium per via del lockdown da Coronavirus* Ottieni 2 mesi gratis di Netflix Premium in tutto il mondo per 60 giorni. Premi QUI https://bit[.]ly/3bDmzUw.
Il malware è stato progettato per essere wormable, cioè con la capacità di diffondersi da un dispositivo Android ad un altro dopo un clic sul link, scaricando un ulteriore malware e capace, quindi, di innestare una preoccupante reazione a catena.
In funzione di queste capacità, potrebbe quindi eseguire una serie di attività dannose, fra cui:
- diffondere ulteriore malware tramite link dannosi;
- rubare credenziali e dati dagli account WhatsApp;
- condividere messaggi fake o pericolosi ai contatti e ai gruppi WhatsApp.
Prevenzione e protezione dal nuovo malware su WhatsApp
Nonostante la cancellazione dell’app FlixOnline dal Google Play Store dopo la segnalazione dei ricercatori, qualora si riscontri di averla sul proprio device mobile, si suggerisce di cancellarla immediatamente e cambiare tutte le password collegate alle app del telefono.
A titolo preventivo e di protezione, le raccomandazioni in casi come questo passano sempre per gli elementi fondamentali di:
- installare una soluzione di sicurezza sul proprio dispositivo;
- scaricare le applicazioni solo dai mercati ufficiali, anche se in questo caso era proprio Google Play ad essere stato raggirato nei controlli di sicurezza che dovrebbero garantire app. quindi controllare sempre app non comuni e provare ad informarsi prima della loro autenticità con controlli incrociati;
- mantenere aggiornato il proprio dispositivo e le proprie app;
- diffidare dei link di download o degli allegati che ricevono tramite WhatsApp o altre app di messaggistica, anche quando sembrano provenire da contatti fidati o gruppi di messaggistica;
- evitare di credere a tutte le “offerte imperdibili” che chiedono di scaricare o installare componenti;
- verificare le autorizzazioni che sono richieste dall’app scaricata rispetto ai permessi sul telefono.
Cosa abbiamo da imparare dalla scoperta del nuovo malware su WhatsApp
Fabrizio Cocco, esperto di sicurezza e autore del libro “Sicurezza delle reti grandi e distribuite”, sottolinea come la scoperta del team di ricercatori CPST confermi purtroppo un trend in crescita: la forte attenzione del cyber crime verso i sistemi mobile e il costante adattamento dello scenario malevolo ai fattori psicologici contemporanei.
In questo caso, infatti, si è puntato sugli effetti della pandemia dove le persone sono costrette a rimanere a casa per lunghi periodi e spesso hanno subito ingenti perdite economiche.
Quindi, l’accoppiata di due mesi gratuiti di abbonamento a Netflix suscita sicuramente una forte attrazione nell’utente finale.
Il targeting verso i sistemi mobili svela invece l’intento di raggiungere in modo capillare gli utenti, amplificando l’efficacia e la penetrazione sfruttando la fiducia riposta nei contatti personali di WhatsApp.
L’altro aspetto da considerare è quello della “semplicità”. L’app non utilizza nessuno zero day o exploit particolare, né di Android, né di WhatsApp, ma solo le funzionalità e i permessi normalmente offerti ad un programmatore mobile.
Inoltre, l’APK viene distribuito sugli store ufficiali nonostante i controlli di Google. Queste caratteristiche evidenziano due grandi temi: da una parte le fragilità dei sistemi di controllo nella gestione di grandi moli di dati complessi e variabili (come un app store) e dall’altra, la necessità di investire nella cultura della sicurezza degli utenti finali.
Difatti, l’attuale livello di intelligenza artificiale non riesce ancora a competere con la continua evoluzione di tecniche che mirano a bypassare i controlli di sicurezza, dimostrando, ancora una volta, l’importanza del fattore umano per contrastare efficacemente questa tipologia di minacce.
Aviran Hazum, Manager of Mobile Intelligence presso Check Point Software, fa invece notare la tecnica del malware perché abbastanza nuova e innovativa: “consiste nel dirottare la connessione a WhatsApp acquisendo notifiche, insieme alla possibilità di eseguire azioni predefinite, come “ignora” o “rispondi” tramite il gestore delle notifiche.
Il fatto che il malware sia stato in grado di essere mascherato così facilmente e alla fine di aggirare le protezioni del Play Store solleva alcuni seri segnali di allarme. Sebbene siamo riusciti a interrompere una campagna del malware, è probabile che la famiglia di malware rimanga. Il malware potrebbe tornare nascosto in un’app diversa.
Le protezioni di Google Store non riescono a tracciare questi comportamenti come malevoli e sono quindi ingannate. È per questo che gli utenti di telefoni necessitano di una soluzione di sicurezza mobile. Fortunatamente, abbiamo rilevato il malware in anticipo e lo abbiamo divulgato rapidamente a Google, che, a sua volta, ha anche agito rapidamente. Se si pensa di essere una vittima, consiglio di rimuovere immediatamente l’applicazione dal dispositivo modificando tutte le mie password”.
Alessio Pennasilico, Information & Cyber Security Advisor per P4I ed esperto Clusit, focalizza sulle debolezze delle infrastrutture di gestione dello Store e degli utenti fruitori: “questo ennesimo esempio mette in luce la debolezza infrastrutturale della gestione delle app. Anche su Store ufficiali è possibile che finiscano app malevole, nonostante i controlli. Sugli Store non ufficiali la qualità di cosa viene pubblicato è ancora meno verificata. Questo scenario si unisce alla scarsa accortezza degli utilizzatori che scaricano troppe app senza farsi nemmeno le domande più banali circa la loro liceità/pericolosità e come in questo caso è facile intuire come le conseguenze possano essere molto gravi”.
“Per questa ragione”, precisa infine l’esperto del Clusit, “sarebbe necessario da un lato una maggiore security assurance da parte degli store ufficiali, dall’altra una maggiore alfabetizzazione ed accortezza da parte degli utilizzatori”.
