26 maggio 2014

Nonostante gli sforzi intrapresi da Google per provvedere alla sicurezza di Google Play, di volta in volta alcune applicazioni malevole e potenzialmente rischiose si fanno strada all'interno del catalogo. Cosi di recente, il team di Doctor Web ha scoperto un'utility capace di eseguire, accanto alle funzioni normali, quelle indesiderate, come ad esempio l'invio di sms e il download e l'installazione di applicazioni all'insaputa dell'utente. Questo programma e stato scaricato da oltre un milione di utenti di Google Play ed e diventato il problema piu grande di questo tipo negli ultimi tempi.

Il programma rilevato da Doctor Web e un'utility di ottimizzazione, un tipo comune di software, tramite il quale si possono incrementare le funzionalita del dispositivo mobile ed impostare alcuni suoi parametri. In particolare, questa utility consente di gestire le applicazioni (installazione, rimozione, backup), di svuotare la memoria e di controllare il traffico Internet.

Oltre a queste funzioni normali, il programma puo eseguire altre azioni non visibili per l'utente, ad esempio scarica applicazioni e invia sms a costi elevati senza autorizzazione. Per questi scopi, il programma utilizza diversi servizi sospetti che diventano attivi dopo il suo avvio. Uno di essi provvede alla comunicazione con il server remoto di controllo, su cui l'utility trasmette le informazioni del dispositivo (identificatori IMEI e IMSI) e da cui accetta istruzioni di gestione, come ad esempio:

• creazione di una lista delle applicazioni da scaricare;
• parametri per l'invio degli sms (testo e il numero del destinatario);
• creazione di una lista per l'intercettazione di determinati sms in arrivo (contiene il numero del mittente e il testo dell'sms).

Un altro servizio viene utilizzato per l'installazione di applicazioni. Il servizio scarica i file apk secondo la lista creata e tenta di installarli all'insaputa dell'utente tramite il comando pm install che puo essere eseguito sui dispositivi con i permessi di root. Se i permessi di root non sono disponibili, il servizio prova ad installare le applicazioni nella modalita standard che richiede la conferma da parte dell'utente.

Anche se la possibilita di installazione "silent" (senza l'intervento dell'utente) potrebbe servire per scopi legittimi, ad esempio quando le applicazioni devono essere trasferite da un dispositivo dell'utente verso un altro, la stessa funzione potrebbe installare software non richiesto dall'utente. Per quanto riguarda l'invio di sms in modo automatico, questa funzione viene gestita dal server remoto e l'utente non ha nessun controllo su di essa. A causa della presenza di queste funzioni non sicure, gli analisti dei virus Doctor Web hanno deciso di classificare l'utility come malevola e l'hanno inserita nel database dei virus sotto il nome dell'Android.Backdoor.81.origin.

Prima della sua rilevazione, questa utility e stata scaricata da Google Play per oltre un milione di volte. Per di piu, alcuni utenti hanno gia avuto il problema dell'invio non autorizzato di sms a numeri premium. Al momento della diffusione della notizia (26 maggio) il programma e ancora disponibile nel catalogo delle applicazioni.

Per evitare conseguenze negative delle azioni dei programmi malevoli o potenzialmente rischiosi, si consiglia di leggere con attenzione i requisiti, compresi quelli dei permessi, di un programma prima di installarlo e di utilizzare una protezione antivirus per Android moderna.