Android, attenti a queste app: nuovo adware scaricato milioni di volte

Un nuovo adware è stato scoperto su Android all'interno di app scaricate circa 20 milioni di volte. La scoperta è stata effettuata dai ricercatori di sicurezza di McAfee, che hanno divulgato la presenza del malware su 16 app clicker dannose distribuite attraverso Google Play, lo store ufficiale.

Le app clicker sono una categoria speciale di adware attraverso cui gli annunci vengono caricati in frame invisibili o in background e che simulano le interazioni degli utenti per generare un flusso costante di entrate per gli operatori. Il dispositivo su cui viene eseguita l'operazione potrebbe soffrire di cali di prestazioni, surriscaldamento, drenaggio della carica residua della batteria e anche addebiti sul proprio piano telefonico. In seguito alla segnalazione di McAfee, e dopo aver generato un seguito abbastanza importante, le app sono state rimosse da Google Play Store, ma probabilmente potrebbero essere scaricate da fonti terze.

16 app Android scaricate 20 milioni di volte contengono un adware

Quella da cui stare maggiormente alla larga è DxClean, un'app utile per ottimizzare il sistema e che prometteva non solo di individuare le cause dei rallentamenti, ma anche di bloccare le inserzioni pubblicitarie dannose. L'app era valutata su Play Store con un punteggio di 4,1 su 5 ed è stata scaricata oltre 5 milioni di volte, nonostante in realtà facesse tutto l'opposto rispetto a quanto promosso. L'intera lista delle applicazioni fraudolente può essere individuata nel report originale.

Una volta lanciate, le 16 app scaricano i dati di configurazione da una postazione remota tramite una richiesta HTTP e registrano un listener FCM (Firebase Cloud Messaging) per ricevere messaggi push. Nei messaggi sono contenute le istruzioni per i clicker, ad esempio quali funzioni chiamare e quali parametri utilizzare. Se rispettate le condizioni richieste vengono avviate le funzioni latenti del clicker, che lancia in background siti web condivisi dai messaggi FCM simulando al contempo l'interazione dell'utente con i banner.

Le funzioni vengono gestite da diversi componenti: click.cas genera i click, com.liveposting invece implementa i servizi adware nascosti. Secondo i ricercatori quest'ultima componente può anche funzionare in maniera indipendente, ma nelle ultime versioni dell'adware sono sempre presenti entrambi i componenti. La vittima non ha alcun modo di entrare in contatto con i siti web caricati in background, quindi difficilmente può scoprire se sul proprio dispositivo vengono compiute operazioni a sua insaputa. Le attività, poi, iniziano con un ritardo di almeno un'ora dopo aver installato l'applicazione compromessa: si può scoprire la presenza di app di questo tipo solo analizzando il consumo della batteria o il traffico dati.

Un tablet Android da 10", Full HD, 6GB di RAM, 128GB di memoria e anche LTE a 159€?!? Oggi, su Amazon, sì!