News

I codici QR “innocenti” di alcune app infettano 500.000 utenti Android e iOS

Questo è più di un caso di “scienza machiavellica” perpetrato da criminali che utilizzano la cosiddetta ingegneria sociale per rubare l’utente più incauti. Si tratta di due diversi problemi di codice QR che interessano i dispositivi Android e iOS. Nel caso di Android è un malware, mentre in iOS è un bug (sì, più uno).

In queste ore, infatti, è stato reso noto che iOS ha un bug in più che può portare l’utente a cadere in uno schema dannoso. iOS, con l’arrivo della versione 11, ha portato l’utente un incremento interessante nell’app fotocamera. Da allora è diventato possibile (nativamente) leggere un codice QR senza la necessità di ricorrere ad app di terze parti. Tuttavia, il sito tedesco Infosec ha scoperto che questa funzione può essere utilizzata dai criminali informatici per condurre attacchi, poiché la lettura di un codice QR mostra le informazioni di un sito, ma l’utente può essere reindirizzato a un altro sito (ad esempio, un sito con malware).

Le applicazioni QR di Android nascondono malware

La società di sicurezza SophosLabs, cui si deve l’aver segnalato il problema, ha scoperto alcune applicazioni per Android con malware che si trovavano nel Play Store. Queste applicazioni nascondono malware con funzionalità per leggere codici QR e altre azioni ingannevoli per l’utente.

Anche se questo non è il primo caso di applicazioni infettate da malware all’interno del Google Play Store, il malware Andr/HiddnAd-AJ nascosto in queste app è stato progettato per assomigliare ad una libreria di programmazione Android. In questo modo, gli hacker sono riusciti a ingannare il sistema di filtraggio di Google.

Inoltre, queste applicazioni non rivelano le loro vere intenzioni fino a sei ore dopo l’installazione. Successivamente, iniziano ad inondare i dispositivi con annunci.

Google ha già rimosso queste applicazioni con malware, almeno quelli che sono stati segnalati. Tuttavia, per avere un’idea, mentre erano disponibili nel Play Store, sono state scaricate più di 500.000 volte. Il sotterfugio usato dai programmatori per ingannare il sistema “Play Protect” di Google sembra sorprendentemente semplice. Innanzitutto, le app erano, almeno in modo superficiale, ciò che affermavano di essere: sei erano applicazioni di lettura di codici QR e una era la cosiddetta “bussola intelligente“. In altre parole, se stavi testando le app per divertimento, o per qualche altra ragione, potresti essere portato a giudicarle con un tuo commendo o descrizione.

In secondo luogo, i criminali non hanno immediatamente attivato la parte adware delle loro app, nascondendosi innocentemente per alcune ore prima di innescare una raffica di annunci. In terzo luogo, ancora, la parte adware di ogni app è stata incorporata, a prima vista, come una normale libreria di programmazione Android che è stata incorporata nel software. Aggiungendo un sottocomponente “grafico” dall’aspetto innocente che ci si aspetterebbe di trovare in un’app per Android standard, il motore di adware all’interno dell’applicazione è effettivamente mimetizzato.

Nonostante tutta la sua apparente innocenza, tuttavia, questo malware non mostra solo pagine web pubblicitarie, ma può anche inviare notifiche Android, inclusi link cliccabili, per invogliare a generare entrate pubblicitarie per i criminali.

Condividi
Pubblicato da
Federica Vitale