Tre giorni fa Google ha rimosso dal Play Store di Android oltre 35 app infette: tutti falsi antivirus (per saperne di più) che avevano superato i controlli "all'ingresso" imposti da Google grazie alla capacità di simulare le stesse attività di un app antivirus legittima. Oggi arriva un altro report che, nonostante gli sforzi di Google, dimostra che il problema non è risolto né nel mondo Android né in quello dei PC.
Il report
AdGuard ha pubblicato un dettagliato report dove dimostra di aver individuato una lunghissima serie di estensioni infette che hanno registrato oltre 20 milioni di download complessivamente. La quasi totalità sono Ad-Blocker, cioè quelle estensioni che eliminano la pubblicità dalle pagine che visitiamo, impediscono l'apertura di pop up e, recentemente, bloccano anche i miner in browser di cripto valuta.
Gli autori del report spiegano che il problema non è affatto nuovo, anzi: c'è solo stato un piccolo
cambiamento nelle modalità di azione dei truffatori. Fino a poco tempo fa i truffatori riempivano il Chrome WebStore con cloni di ad blocker famosi ai quali semplicemente aggiungevano, all'inizio, il proprio codice. In quel caso i proprietari legittimi dell'app clonata dovevano notificare a Google una violazione del proprio marchio: in pochi giorni Google procedeva alla rimozione dell'estensione clonata.
Ora i truffatori si sono fatti più furbi: tutte le estensioni individuate "rimpolpano" il codice di app legittime con l'aggiunta di alcune linee di codice e funzioni di profilazione, ma non imitano il nome di estensioni famose. Al contrario denominano le estensioni e organizzano le descrizioni delle stesse con parole chiave specifiche, in maniera tale che possano risultare tra i primi risultati nelle ricerche.
 |
| Fonte: AdGuard |
Un esempio: ADRemover
Questa estensione da sola, stando ai dati di Google, vanta oltre 10 milioni di download. Le porzioni di codice dannoso, ben offuscate, sono tre, tra i quali un misterioso file coupon.txt.
 |
| Fonte: AdGuard |
La prima porzione di codice è uno script che viene inserito nella libreria JQuery: serve a richiamate un altro script offuscato, che avvia il monitoraggio della navigazione. Quando il sito visitato corrisponde ad uno di quelli contenuti nell'elenco del file coupon.txt, lo script utilizza un iFrame per inviare le informazioni sulla navigazione ad un dominio predefinito.
 |
| Fonte: AdGuard |
Il terzo elemento è uno script che esegue il download di una misteriosa immagine che viene scaricata dal sito hanstrackr.com: contiene a sua volta uno script. Di per sè l'immagine è inoffensiva, ma viene scaricata ad ogni avvio: i truffatori quindi possono modificarla in qualsiasi momento facendo sì che il browser esegua il comportamento da loro indicato. Il livello di controllo è quindi paragonabile a quello di una botnet composta da oltre 10 milioni di browser.
Oltre a questa estensione ne sono presenti altre: uBlock Plus (8 milioni di installazioni), Adblock Pro (2 milioni di installazioni), HD for Youtube (400 installazioni) ecc.. Attualmente sono state tutte rimosse dopo la segnalazione di AdGuard.
Nessun commento:
Posta un commento