Un’applicazione di tipo Trojan che infastidisce gli utenti appassionati di shopping con inserzioni pubblicitarie indesiderate, incrementando inoltre il numero di installazioni di app per gli acquisti online e ingannando allo stesso tempo utenti e inserzionisti. Si tratta di un malware – stando ai ricercatori di Kaspersky, che l’hanno identificato – in grado di accedere agli app store degli smartphone, di scaricare e lanciare altre applicazioni e di lasciare recensioni false per conto degli utenti, operando senza farsi notare dai proprietari dei dispositivi attaccati.
Come funziona e come si diffonde il Trojan
Il malware, soprannominato “Shopper”, ha attirato per la prima volta l’attenzione dei ricercatori per un uso esteso delle modalità di offuscamento e per lo sfruttamento dell’Accessibility Service di Google. Questo servizio, progettato per aiutare le persone con disabilità, consente agli utenti di impostare un comando vocale per la lettura dei contenuti delle app e di automatizzare l’interazione con l’interfaccia utente. Funzioni utili che, nelle mani di potenziali cybercriminali, possono trasformarsi in una seria minaccia per i proprietari dei dispositivi.
Kaspersky spiega che dopo aver ricevuto l’autorizzazione all’utilizzo del servizio, il malware può arrivare a interagire con l’interfaccia del sistema e con le applicazioni in modo quasi illimitato: può acquisire i dati che compaiono sullo schermo, può premere tasti e comandi, perfino simulare i gesti dell’utente stesso. Le modalità di diffusione di questa app malevola non sono ancora note, ma i ricercatori della società specializzata in cybersecurity ipotizzano che possa essere scaricata dai proprietari dei dispositivi a partire da annunci fraudolenti o da app store di terze parti mentre si cerca di fare il download di applicazioni legittime. La app finge di essere un’applicazione di sistema e utilizza un’icona chiamata ConfigApks per non farsi notare dall’utilizzatore del dispositivo. Dopo lo sblocco della schermata, l’app si avvia, raccoglie informazioni dal dispositivo della vittima e le invia direttamente ai server degli attaccanti. A quel punto il server rimanda i comandi che l’app stessa deve eseguire.
Cosa è in grado di fare l’applicazione
A seconda dei comandi ricevuti, l’app è in grado di utilizzare l’account Google o Facebook del proprietario del dispositivo per procedere con la registrazione ad applicazioni per lo shopping online e l’intrattenimento più popolari, come AliExpress, Lazada, Zalora, Shein, Joom, Likee e Alibaba. Può inoltre, come detto, lasciare false recensioni delle app di Google Play per conto del proprietario del dispositivo. Il Trojan inoltre verifica i diritti di utilizzo dell’Accessibility Service. Se l’autorizzazione non viene concessa, può procedere con l’invio di una email di phishing con la richiesta. C’è inoltre il rischio che si disattivi Google Play Protect, la suite di servizi di sicurezza che esegue controlli sulle applicazioni prima che vengano scaricate dallo store Google Play. L’applicazione è anche in grado di aprire pagine web a partire da link ricevuti dal server remoto in finestre di navigazione non visibili e nascondersi dal menu delle app dopo lo sblocco di diverse schermate, ma pure di mostrare inserzioni pubblicitarie quando si sblocca lo schermo del dispositivo e creare dei controlli grafici (label o widget) per gli annunci pubblicizzati direttamente nel menu delle applicazioni. Da Kaspersky fanno sapere che il malware riesce infine a scaricare le applicazioni dal sito Apkpure[.]com e installarle, aprire e scaricare le applicazioni pubblicizzate su Google Play e sostituire i controlli grafici delle applicazioni già installate con quelle che rimandando a pagine web pubblicizzate.
I Paesi più colpiti e le possibili evoluzioni del malware
Tra ottobre e novembre 2019, il maggior numero di utenti colpiti dal Trojan è stato registrato in Russia, con una percentuale pari al 28,46% degli shopaholic del Paese. Quasi un quinto (18,70%) delle infezioni si è verificato in Brasile e il 14,23% in India.
“Al momento i pericoli reali legati a questa app malevola sono limitati all’apparizione di annunci pubblicitari indesiderati, alla pubblicazione di recensioni false e alla comparsa di valutazioni pubblicate a nome degli utenti vittime del Trojan”, commenta in una nota Igor Golovin, Malware Analyst di Kaspersky. “Un giorno, però, i creatori di questo malware potrebbero decidere di utilizzarlo per altri scopi. Per ora questa app malevola si concentra sul mondo del retail, ma le sue funzionalità potrebbero consentire agli aggressori di diffondere informazioni false attraverso gli account sui social media degli utenti o sfruttando altre piattaforme. Ad esempio, potrebbe essere sfruttata per condividere in modo automatico dei video con i contenuti che i cybercriminali inventori di Shopper vorrebbero diffondere direttamente sui profili social degli utenti e anche inondare Internet con informazioni inaffidabili”.
