Tutto ciò che occorre sapere su ExpensiveWall, il malware che da Google Play deruba gli utenti

ExpensiveWall è un malware molto venale

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Un’altra settimana, un altro malware su Google Play: nonostante l’istituzione di Google Play Protect, che garantisce la sicurezza delle applicazioni installate dall’utente, gli hacker trovano sempre un modo differente per penetrare le difese del Play Store e trarre guadagno a discapito di inconsapevoli utenti. Ad attirare l’onore della cronaca è ExpensiveWall, un malware capace di drenare denaro in grandi quantità dal conto telefonico della vittima (ma non solo) senza che questa sia in grado di accorgersi delle attività del virus.

Siete pronti per scoprire tutto ciò che occorre sapere su ExpensiveWall?

Che cos'è ExpensiveWall

ExpensiveWall è un adware: generalmente le capacità di questo malware sono limitate alla realizzazione di ricavi attraverso la visualizzazione di improvvise pubblicità a tuttoschermo o auto-click generati su banner pubblicitari online, ma non si tratta del caso di ExpensiveWall.

ExpensiveWallQuesto virus infatti non è nuovo agli analisti del laboratorio di ricerca Check Point: appartiene infatti ad una famiglia di malware già segnalata su Google Play all’inizio del 2017, quando – servendosi di una serie di applicazioni per l’editing fotografico – era riuscito ad infettare tra i 5,9 e i 21,1 milioni di device, prima di essere individuato ed eliminato dal Play Store da Google, sotto segnalazione.

Questa volta ExpensiveWall è stato fermato molto prima che la macchia del contagio si diffondesse così tanto, arrivando a colpire “solo1,42 milioni di smartphone (se effettuiamo un rapporto di 1:1 per ogni download di ciascuna delle 50 applicazioni infette); la strategia applicata ci porta però a considerare ExpensiveWall come un’evoluzione del precedente virus, in quanto ha dimostrato di possedere la malleabilità necessaria per permettergli di superare indenne le analisi di Google Play Protect.

ExpensiveWall presenta infatti una struttura estremamente versatile: qualora lo si volesse, un hacker potrebbe servirsi dello stesso codice di sviluppo per estrarre ed inviare al server di Comando&Controllo (C&C) file audio, immagini, video e molti altri dati compromettenti per la privacy dell’utente. In questo caso, però, ExpensiveWall si è limitato a “nascondere” all’interno di molteplici strati di cartelle e sottocartelle le funzioni più sospette della propria attività, ingannando il sistema di scanning antivirus dello store, al punto che pochi giorni dopo la rimozione del malware un’ennesima versione è comparsa su Google Play – solo per contagiare circa 5.000 device ed essere poi espulsa da Google.

Sembra infatti che l’intera famiglia di ExpensiveWall sia accomunata da un singolo SDK infetto, chiamato “gtk”, capace di generare tre differenti tipologie di virus: la prima è quella già vista all’inizio del 2017, la seconda è quella ora in discussione e la terza contiene un malware pronto all’uso, ma non ancora attivato e lasciato così silente.

Come ExpensiveWall attacca gli smartphone degli utenti

Come già specificato, ExpensiveWall è stato programmato per generare guadagno attraverso l’interazione con banner pubblicitari e l’iscrizione dell’utente a servizi a pagamento via SMS; a prima vista può sembrare un’attività tanto sospetta da sembrare inverosimile che un utente non riesca ad accorgersene, ma i suoi sviluppatori sono stati sufficientemente accorti.

Una delle pagine web attraverso cui ExpensiveWall iscrive l’utente a servizi a pagamento a sua insaputa

Una volta scaricato da Google Play il malware richiede infatti l’accesso ad alcuni permessi sensibili, quali l’accesso alla connessione Internet o agli SMS, fondamentali per garantirne il funzionamento; una volta che questi sono stati concessi, il malware contatta il proprio server di Comando&Controllo (C&C) per avviare la fase di attacco. Questa inizia con l’invio al server C&C delle informazioni più importanti per l’identificazione di un device, come l’indirizzo MAC, IP, IMSI e IMEI, la localizzazione geografica ma soprattutto il numero di cellulare.

L’interfaccia di ExpensiveWall si serve infatti di WebView, il sistema di gestione delle pagine web di Android, per avviare in background – e dunque lontano dagli occhi dell’utente – il caricamento di pagine web proprietarie, contenenti codici Javascript malevoli capaci di avviare azioni in-app nello smartphone. Tra queste azioni troviamo l’iscrizione a servizi di pagamento molto costosi, o l’interazione tramite tap auto-generati su pubblicità ospitate su siti affiliati, un meccanismo di auto-finanziamento non del tutto originale ma certamente efficace. Qualora poi fosse richiesto, ExpensiveWall può generare una falsa schermata di aggiornamento per spingere l’utente a tappare su una determinata regione dello schermo, così come già visto nel caso delle notifiche Toast.

Come difendersi da ExpensiveWall

Per difendersi da ExpensiveWall non occorrerà procedere in maniera differente dagli altri casi di segnalazione di malware: come già detto, vi suggeriamo di controllare sempre le recensioni delle app per verificare la presenza di segnalazioni del tipo visibile nell’immagine sottostante.

ExpensiveWall
Alcune delle recensioni delle app contagiate da ExpensiveWall

Nonostante tutto, Google Play rimane la più grande e sicura raccolta di app Android esistente, dunque vi consigliamo vivamente di procedere al download unicamente delle app contenute al suo interno e degli store a lui più simili – e sicuri; nel caso in cui voleste aggiungere un nuovo livello di sicurezza, sarebbe opportuno mantenere sempre alta l’attenzione sui permessi richiesti dalle app, e nel caso scaricare un antivirus per la sicurezza del device.

Non preoccuparti dei virus: scopri QUI tutti gli indizi che possono suggerirti la presenza di un malware sul dispositivo!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//