False applicazioni disponibili sull’App store ufficiale di Google, installate in un solo mese più di 200mila volte, che si presentano agli utenti come antologie di “trucchi“ per giochi famosi come Cheats for Pou, Guide for SubWay e Cheats for SubWay, ma che in realtà “aggrediscono” l’utente con pubblicità ogni 30-40 minuti, disturbando il normale funzionamento dei dispositivi Android. A scoprirlo è stata Eset, società specializzata in software per la sicurezza digitale.
Le false app, rilevate da Eset come Android/AdDisplay.Cheastom, sfruttavano numerose tecniche per eludere la rilevazione da parte di Google Bouncer, la tecnologia che Google usa per impedire alle app pericolose di entrare nello store Google Play e contenevano un codice di auto-protezione per renderne più complicata la rimozione.
Secondo i ricercatori di Eset, si legge in una nota della società, la tecnica anti-Bouncer usata da queste app riusciva a ottenere l’indirizzo IP di un dispositivo e ad accedere al suo record Whois. Se l’informazione restituita dal controllo conteneva la stringa “Google”, l’app presumeva di essere eseguita all’interno del Bouncer e forniva semplicemente i trucchi per il gioco, come ci si aspetterebbe dall’applicazione legittima, senza mostrare le pubblicità.
Eset ha inviato una segnalazione a Google e queste applicazioni ora sono state rimosse dallo store ufficiale.
“Disinstallare queste applicazioni può essere molto difficile – spiega Eset – come molti utenti hanno avuto modo di riferire nelle proprie recensioni. L’applicazione richiede infatti i diritti di amministratore sul dispositivo e può nascondere la propria icona di avvio. L’utente può trovare queste app nell’elenco delle applicazioni, ma non gli sarà possibile disinstallarle se non dopo aver disattivato i diritti di amministratore del dispositivo. Dopo questa disattivazione sarà possibile disinstallare le applicazioni andando su Impostazioni -> Gestione applicazioni -> Cheats for Pou/Cheats For Subway/Guid For SubWay.
Maggiori informazioni e consigli per gli utenti infettati sono disponibili sul blog di Welivesecurity.com“.