Amazon Appstore: trovato malware camuffato da app per la salute

Un'applicazione spyware Android dannosa denominata "BMI CalculationVsn" è stata scoperta sull’Amazon Appstore. Apparentemente, sembra un semplice strumento sanitario. Tuttavia, è capace di rubare i dati agli utenti funzionando in background. L'applicazione è stata scoperta dai ricercatori di McAfee Labs, che hanno informato Amazon, portando alla rimozione dell'applicazione dallo store. Tuttavia, coloro che hanno installato l'app devono rimuoverla manualmente ed eseguire una scansione completa per eliminare eventuali tracce residue. Amazon Appstore è un app store di terze parti per dispositivi Android preinstallato sui tablet Amazon Fire e sui dispositivi Fire TV. È anche un'alternativa a Google Play per i possessori di dispositivi Android che non possono o non vogliono usare la piattaforma di Google. Inoltre, offre giochi e contenuti esclusivi di Amazon Prime. L'app spyware BMI CalculationVsn, pubblicata da 'PT Visionet Data Internasional', è promossa come un semplice strumento di calcolo dell'indice di massa corporea (BMI).

Amazon Appstore: come avviene l’attacco del malware

L’app caricata sull’Amazon Appstore presenta un’interfaccia semplice e sembra fornire la funzionalità promessa. Tuttavia, in background si mettono in moto varie azioni dannose. Innanzitutto, l'app avvia un servizio di registrazione dello schermo che richiede l'autorizzazione appropriata quando l'utente fa clic sul pulsante "Calcola". Ciò può essere ingannevole e indurre le persone ad approvare di riflesso. McAfee afferma che la registrazione è archiviata localmente in un file MP4 ma non è stata caricata sul server di comando e controllo (C2), probabilmente perché l'app è ancora in una fase di sviluppo iniziale. Un'analisi più approfondita della cronologia delle release da parte dei ricercatori ha mostrato che l'app è apparsa per la prima volta in circolazione l'8 ottobre. Alla fine dello stesso mese, aveva cambiato la sua icona, aggiunto altre funzioni dannose e modificato le informazioni del certificato.

La seconda azione dannosa eseguita dall'app è la scansione del dispositivo per recuperare tutte le applicazioni installate. Ciò consente agli aggressori di pianificare i loro prossimi passi. Infine, lo spyware intercetta e raccoglie i messaggi SMS inviati e memorizzati sul dispositivo, tra cui password monouso (OTP) e codici di verifica. Considerando che le app pericolose possono ancora sfuggire alle crepe della revisione del codice in store legittimi e altrimenti affidabili come Amazon Appstore, è importante che gli utenti Android installino solo app da editori noti. Si consiglia inoltre di esaminare attentamente le autorizzazioni richieste e revocare quelle rischiose anche dopo l'installazione. Google Play Protect può rilevare e bloccare malware noti scoperti dai partner di App Security Alliance, tra cui McAfee. Per maggiore sicurezza è quindi fondamentale mantenerlo attivo sui dispositivi Android.