Android: spyware nascosto in app per chat e VPN

I ricercatori di sicurezza di Cyfirma hanno recentemente comunicato di aver scovato tre app Android sospette individuate direttamente sul Google Play Store. Per la precisione, si tratta di app pubblicate da SecurITY Industry che sono camuffate da chat e VPN e che portano in dote uno spyware, molto probabilmente sfruttato per raccogliere informazioni sul dispositivo ed effettuare un attacco successivo.

Android: tre app sul Play Store celano uno spyware

Andando più in dettaglio, le tre app "incriminate" sono Device Basic Plus, nSure Chat e iKHfaa VPN. Vengono installate dagli utenti dopo aver ricevuto messaggi tramite WhatsApp e Telegram.

iKHfaa VPN è una versione modificata di Liberty VPN e al primo avvio viene chiesto il permesso di accesso al servizio di localizzazione di Android. nSure Chat chiede invece il permesso di accesso ai contatti. Tutte e due le app, però, raccolgono informazioni su posizione geografica e contatti.

I dati vengono trafugati e tenti in memoria tramite la libreria ROOM di Android, mediante istruzioni SQLite. La comunicazione HTTP con il server C&C (command and control) viene invece gestita dalla libreria Retrofit.

Analizzando il codice e le funzionalità, i ricercatori di sicurezza informatica hanno attribuito le app al gruppo indiano DoNot, in base alle tecniche usate dai malintenzionati per offuscare il codice. Il suddetto gruppo di cybercrminali è attivo dal 2016 e colpisce perlopiù aziende di telecomunicazioni, militari, governi, ambasciate e NGO asiatici.

Tenendo conto delle circostanze, è ben evidente il fatto che sebbene il Google Play Store sia solitamente sufficientemente sicuro, alcune app possono comunque sfuggire agli scrupolosi controlli di "big G", pertanto è sempre e comunque bene prestare la massima attenzione alle risorse che vengono scaricate e utilizzate su Android.