Google Play Store, rimosse 9 app: rubavano i dati di accesso a Facebook

05 Luglio 2021 66

Google ha rimosso nove app del Play Store contenenti malware che sottraevano le credenziali di accesso all'account Facebook. Per raggiungere lo scopo gli hacker ricorrevano ad un meccanismo subdolo: proponevano agli utenti la possibilità di disattivare gli annunci in-app effettuando l'accesso con i propri dati Facebook. Chi decideva di percorrere questa strada veniva guidato in una schermata contenente i campi per l'inserimento di nome utente e password di Facebook. I dati però venivano inviati al C&C (centro di comando e controllo) del malware e finivano nelle mani dei malintenzionati.

Sono state identificate cinque varianti del malware (Android.PWS.Facebook) nascosto nelle app incriminate. Tre erano app native Android, le altre create con il framework Flutter di Google (usato per realizzare app multipiattaforma). L'aspetto peggiore della vicenda è che non si trattava di app sconosciute, ma di software che hanno accumulato un notevole numero di download. La maggior parte è riconducibile all'app PIP Photo.

LE 9 APP INCRIMINATE

L'elenco delle applicazioni incriminate, con relativo numero di download si può così schematizzare:

  • PIP Photo: oltre 5,8 milioni di download
  • Processing Photo: oltre 500.000 download
  • Rubbish Cleaner: oltre 100.000 download
  • Horoscope Daily: oltre 100.000 download
  • App Lock Keep: oltre 50.000 download
  • Lockit Master: oltre 5.000 download
  • Horoscope Pi: 1.000 download
  • App Lock Manager: 10 download

Delle 9 app ora non restano che le schermate. Google è intervenuta per rimuoverle

Google ha confermato di aver rimosso le 9 app e di aver bannato gli sviluppatori che erano riusciti a pubblicarle nel Play Store. È un provvedimento dovuto e giusto, anche se nulla vieta loro di registrarsi con un nuovo account sviluppatore. Il costo dei 25 euro necessari potrebbe essere considerato trascurabile rispetto ai proventi derivanti da attività illecite - si ricorda che nel Dark Web c'è un fiorente commercio di dati sottratti illegalmente.

Non è certamente il primo caso di app malevole che sono riuscite a superare i controlli del Play Store - si veda anche il caso documentato a marzo scorso - e non sarà probabilmente l'ultimo. Lato utente il consiglio che si può dare è quello di disinstallare al più presto le app incriminate. Non è poi una cattiva idea effettuare una scansione del dispositivo con un antivirus per rimuovere eventuali residui del malware.


66

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Holy87

evidentemente l'ovvio non lo era per tutti.

virtual

OK, però non mi aspetto in un blog di tecnologia la frase finale:

Non è poi una cattiva idea effettuare una scansione del dispositivo con un antivirus per rimuovere eventuali residui del malware

L'antivirus non serve assolutamente a nulla su Android e i residui non esistono.

lironico

É successo qualche mese fa,flaggato infetto su virustotal da 8/10 antivirus , ma non ricordo il nome visto che non l'ho usato :D ricordo solo che era un software scritto in pyton , comunque per altro metti su google / malware octopus github

Roberto

È necessario scomodare i bilanci per affermare che questo sia l'ennesimo caso di malagestione del market? A Google in interessa fare soldi come a qualsiasi società privata. Ovvio che deve investire in sicurezza per attirare utenti. Sta facendo abbastanza? Le evidenze dicono che ancora non basta. Il quanto è affar loro.

Ansem The Seeker Of Lossless

Potresti citare il software scaricato da github e flaggato come infetto?

Alex

Fonti delle tue affermazioni?

lironico

É un mac portatile vecchio e le app ormai sono tutte installate per quello che mi serve e il browser si aggiorna , per app nuove e robe in cui mi serve potenza uso il pc nuovo ma mai per robe con bancari e soldi di mezzo :D il software che installo su windows lo passo sempre su virustotal , di recente software preso su github è risultato infetto su virustotal per quello ti dicevo che opensource non è sinonimo di pulito,anzi appunto perchè gratis magari poi uno cerca di fare soldi in altra maniera :D

Mariux Revolutions

Esatto

Nicola

Ma infatti... tipo quelle app che dicono di allungare la carica della batteria.
Le trovi solo sui telefoni dei ragazzini e degli over 50.
Poi si stupiscono se sono pieni di schifezze che mettono a ferro fuoco telefono e dati personali.

E K

Troviamo una via di mezzo,

android é una strada libera, con poche pattuglie dove tutti possono viaggiare con il veicolo che gli pare ed esiste solo una velocitá massima da rispettare. In questa strada ci sono circa 100 incidenti all'anno.

iOS é una strada con pedaggio ogni 20 km, pattuglie ogni 100 metri, limite di velocitá minima e limite di velocitá massima, limite di distanza minimo e limite di distanza massimo, e le auto che possono trafficarci devono essere tutte approvate preventivamente, essere tutte della stessa marca e dello stesso colore con la stessa cilindrata.
In questa strada ci sono circa 20 incidenti all'anno.

Ansem The Seeker Of Lossless

E come fai ad essere sicuro con il mac? Non è più sicuro di un Android visto che anche lì puoi prendere virus installando app sbagliate.

lironico

su pc a siti importanti solo su mac osx non su windows , documenti ,foto importanti solo su hd esterno con password ,non su cloud

Ansem The Seeker Of Lossless

Quindi da computer non tieni documenti importanti, o non accedi alla banca?
Poi oh, avere un device totalmente blindato da usare solo per le app bancarie è lecito. Io lo terrei proprio spento se non quando devo accedere alla banca

lironico

ahaha pensi che su f-droid non possano girare app malevole,come su github solo perchè open source :D anche io ho installato vanced ma su terminale dove non tengo app bancarie o pass importanti :D per essere sicuro al 100% le app non conosciute non devi mai installarle allora con 1 solo terminale ti devi privare di fare questo

atm

A me ha aggiunto un ucranio su Facebook pubblicitario senza il mio consenso mah..

Edoardo Motta

Come facevano a rubare la password? Finto login in app su Facebook?

Ansem The Seeker Of Lossless

Io su Android installo principalmente da F-droid, le app che non devono accedere ad internet le blocco tramite ad-guard.
E nel dubbio, ho preso adguard pro per bloccare pubblicità e tracker vari insieme a next dns.
La sicurezza, chi è capace, la ha.

lironico

apparte gli scherzi :D io ci tengo alla sicurezza, ho 3 telefoni ,2 computer ,su ios e osx tengo le robe serie tipo pagamenti,banche , e password importanti , android e windows li uso principalmente per usi ludici + qualche lavoro :D poi ognuno faccia ciò che vuole :D

csharpino

Quando non distingui neanche tra Android e il Play Store ma hei.. oggi la mia defecata quotidiano non l'ho ancora scritta quindi ne approfitto!!!

Ansem The Seeker Of Lossless

Grazie capitan ovvio

csharpino

Io parlo di oroscopi perchè tra le app ci sono anche quelle e comunque mi spiace per il tuo bruciore di fondoschiena, probabilmente ti senti chiamato in causa...

Holy87

No, il PlayStore è un servizio per Android, non è Android.
Sarebbe come dire che Google è Internet.

Ansem The Seeker Of Lossless

Un iphone non fa nemmeno lontamente quello che fa Android, quindi no. Rimane un treno. Va veloce, va dove vuole il conducente, costa tanto e ti porta a destinazione riposato dove potrai prendere un taxi per arrivare infine a destinazione.

lironico

no,no :D il suv da 100 k e la panda da 10 k mi sembra più appropriato , sia con il suv che con la panda puoi fare lo stesso viaggio milano roma,naturalmente con il suv arrivi bello riposato senza stress con tutte le comodità visto i 100 k, con la panda arrivi tutto stressato scomodo e devi fare molte rinunce tipo aria condizionata visto i 10 k , e se fai un incidente dello stesso livello con il suv ti fai poco nulla mentre con la panda distrutta in 2 :D poi c'è anche quello che compra il suv tarocco da 30 k :D

Mariux Revolutions

Solite porcate che solo sprovveduti e boomer installano

Ansem The Seeker Of Lossless

No, è come dire che se prendi un treno sei più sicuro che in macchina.
Puoi avere il suv, ma l'incidente puoi comunque farlo. Il treno è più sicuro ma in compenso ci sono mille posti dove non puoi andare e fai un incidente i danni sono enormi (vedi caso dell'app pishing sui bitcoin)

rsMkII

Chi scarica l'oroscopo merita il peggio.

il Gorilla con gli Occhiali

Dipende che Panda hai.

il Gorilla con gli Occhiali

Per scaricare queste app meriti di farti rubare.

lironico

sbagliato , android come sicurezza software è nettamente inferiore ad ios essendo più aperto , è come dire tu compri una panda fai un incidente e rimani in sedia a rotelle mentre quello con il suv da 100 k non si fa nulla e tu vai a lamentarti con la fiat perchè spendendo 10 k di panda pretendi la stessa sicurezza del suv :D

E K

Facciamo un parallelo,

tu scendi in strada e un fesso ti investe, vai a lamentarti con il governo, che ha costruito le strade e mette la polizia per tenere sotto controllo la situazione, riesce a fare molto ma non tutto, o te la prendi con l'autista che ti ha volontariamente investito?

E non ci azzecca nulla android windows, ios o macos, questi individui li trovi ovunque.

leonardo

Spesso quando vedo che un'app è in sconto da tipo 1€/2€ a gratis, magari con tanti download e recensioni la scarico... Non ho mai inserito dati personali però c'è sa stare attenti, è grave.

ghost

Come iOS quando crasha per colpa di un'app e devi formattare tutto

Baz

si concordo manca un'istruzione dell'utente meno esperto.
dovrebbe essere l'abc che non vanno inserite le credenziali, se non sei all'interno del sito ufficiale con il giusto dominio.
andrebbe fatta capire bene (senza imporre nulla pero'), anche l'utilita' dell'autenticazione in 2 passaggi.
inoltre invece di mettere leggi su questi cavolo di cookie, che ti obbligano solo a fare 1000 click per ogni sito che apri (cosa del tutto inutile, perche' dopo che hai perso tempo a leggere e settare per bene i primi siti, col tempo di stanchi e accetti comunque tutto, quindi pure peggio di come era anni fa dove almeno non c'era nessun alert, e non eri tu ad accettare, ma loro tracciavano e basta, ora invece gli dai pure il permesso anche se non vorresti), imponessero una "formazione" verso il cliente, che ti ricorda di non mettere le credenziali in giro, controllare bene l'url in cui si stanno digitando le credenziali, non inviarle per email, ecc...

Roberto

Il problema nasce dalla comodità di usare l'account FB per accedere a diverse app. Ma soprattutto alla mancanza di campagne informative da parte delle aziende in ambito di sicurezza.
La gente va istruita, un po' come fanno le banche coi propri clienti quando li avvertono di non inserire MAI le proprie credenziali a muzzo.

Baz

be si tratta di phising, non un semplice malware che fa cose sul dispositivo.
posso capire che non venga rilevato da un anti malware.
la questione e' sola una. indipendentemente dal sistema operativo, la gente deve stare attenta nel fare le cose, se installi la prima app che capita, e dai i permessi a tutto, e metti le tue credenziali facebook direttamente da 2 input box a caso senza passare per facebook com, dovresti avere subito il sospetto di qualcosa che non va

Roberto

Mea culpa che fin'ora ho avuto fortuna.

Ansem The Seeker Of Lossless

Scusa, ti non lo sai che il play store è android? E che internet è gugle?

Ansem The Seeker Of Lossless

Pishing è indurre l'utente ad inserire credenziali dove non dovrebbe. Il metodo più classico sono le mail che riescono a superare i controlli antispam e firewall.
Gli store aiutano a filtrare, ma come su app store, fidarsi ciecamente di una applicazione non è mai in bene. Anche solo perché lo sviluppatore potrebbe aver inserito erroneamente un bug nell'ultimo update

Roberto

Android c'entra poco. È il processo di validazione delle applicazioni del PlayStore che ha evidenti lacune.

Felix

Che bello Android.

Roberto

Google, si preoccupa di più di escogitare nuovi modi per incrociare i dati di tutte le app del suo ecosistema.
La sicurezza costa e non ha un ritorno di immagine così immediato.
Ora sicuramente non lascerà tutto al caso, ma credo fermamente che possa e debba fare di più coi mezzi di cui dispone.

Alex

Appunto che la domanda è: Google che cavolo fa?

ErCipolla

Reminder giornaliero che nessuna app legittima vi chiede le credenziali per interfacciarsi con un servizio online, al massimo vi rimanda ad una apposita pagina web del servizio stesso dove confermare l'accesso.

Appunto: pishing è un SMS o un sito che ti dice di scaricare ed installare un'app che poi ti chiede robe strane, senza passare dallo store.
Un'app malevola nello store invece NON è pishing, è un colabrodo del sistema, perchè l'utente assume che se c'è una richiesta questa è legittima in quanto Google ha approvato.

Ansem The Seeker Of Lossless

Magari è la volta buona che compare uno store alternativo serio e sicuro

Ciò che disse P.T.Barnum non si smentisce mai. ;)

Ansem The Seeker Of Lossless

"inserisci qui le tue credenziali per bavere X cosa" è una roba che vedo da 15 anni almeno.
Rimane grave che google permetta simili app

Roberto

Ora il classico pishing sarebbero delle app approvate da google?
Andiamo bene!

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti

Xiaomi Mi 11 Lite come non l'avete mai visto | Video

Recensione Sony Xperia 1 III: super fotocamere e spirito bollente

Recensione vivo X60 Pro: cosa offre lo smartphone ufficiale degli Europei