Come riconoscere virus Android – GNU

Per capire come riconoscere virus Android, dovete prima capire cos’è un virus Android e come si comporta. I virus, che nel linguaggio comune vengono anche identificati come “malware”, sono programmi maligni che vengono sviluppati per trarre un guadagno economico ai danni di inconsapevoli (o meno) vittime. Sicuramente sarete già venuti a contatto con un virus per PC: i malware per Android sono praticamente identici, a grandi linee.

Già: andando infatti più nello specifico, ci accorgiamo che per riconoscere virus Android bisogna “pensare” come tali – ossia capire che in un ambiente ricco di opportunità come un sistema operativo presente in quasi l’80% degli smartphone al mondo, c’è una grande concorrenza. Ecco dunque che molti programmatori di virus Android si specializzano nell’arte di tormentare il prossimo, sviluppando malware dotati di competenze specifiche. I virus più diffusi su Android sono:

• gli adware: sono virus molto semplici, in quanto la loro unica funzione è di invadere lo schermo dell’utente di pubblicità invadenti e molto fastidiose. L’obbiettivo è di costringere l’utente a cliccare inavvertitamente su quante più pubblicità possibili, così da generare del guadagno;
• i ransomware: sono malware Android che prendono in ostaggio il dispositivo nel quale vengono installati. La maggior parte dei ransomware Android cerca di legittimare il sequestro attraverso false schermate di notifica di reati da parte di agenzie governative (spesso statunitensi), per i quali è richiesto il pagamento di una “multa” che porterà poi allo sblocco del telefono;
• gli spyware: sono virus Android che predano sui dati personali dell’utente. Una volta installatisi nel dispositivo, rubano tutte le informazioni personali su cui riescono a mettere le mani, sia tramite la raccolta di dati presenti già nella memoria dello smartphone, sia attraverso l’uso di strumenti per il monitoraggio – come i keylogger, che registrano ogni immissione nella tastiera, o le schermate di phishing, che rubano le credenziali di accesso a social e conti bancari tramite schermate fasulle;
• i fleeceware: malware che ripuliscono il conto bancario dell’utente in maniera subdola. Essi infatti lo convincono a iscriversi ad abbonamenti apparentemente poco costosi i quali, al primo addebito, sottraggono però una cifra spropositata dal conto collegato al proprio account Google Play;
• i trojan: sono i virus più subdoli. Un trojan non è una vera e propria categoria a sé stante di virus, in quanto designa più una strategia di infiltrazione che una modalità di attacco – come il ransomware, chiamato così poiché chiede un “ransom”, ossia un riscatto. Il trojan è un “cavallo di Troia” e, come il famoso cavallo di legno, si maschera da applicazione innocua per convincere l’utente a effettuarne l’installazione per poi rilasciare una serie di pestilenze tecnologiche che infesteranno lo smartphone senza tregua. In questa guida vi spiegheremo soprattutto come riconoscere virus Android di tipo trojan.

Prendersi un virus Android sul proprio smartphone è un po’ come prendersi il virus del raffreddore: difficilmente riuscirete a capire come sia esattamente successo. Spesso l’infezione avviene all’improvviso: un giorno lo smartphone sembra essere sicuro e senza problemi, il giorno dopo sia la barra delle notifiche che l’app drawer sono invasi da pubblicità invadenti generate da chissà quale applicazione.

Ci sono tuttavia alcune strategie d’infezione preferite dagli sviluppatori di malware, che abbiamo voluto qui riassumere per maggiore comodità di chi ci legge.

La prima di queste sono le app infette. Queste applicazioni sono spesso rintracciabili su app store di terze parti, market alternativi molto popolari tra alcune nicchie d’utenza, ma in certi casi persino su Google Play. Benché alcuni di questi market siano piuttosto rinomati e generalmente considerati affidabili (come l’Amazon App Shop, o F-Droid), altri sono di molto più oscura provenienza, e possono nascondere sorprese poco gradite. La responsabilità non è naturalmente degli store di terze parti, in quanto non possiedono i fondi e le dimensioni necessarie per poter applicare le stesse tecnologie antivirus impiegate da Google sul Play Store – anche se, come abbiamo visto, non funzionano sempre.

Secondo i ricercatori del laboratorio di sicurezza Malwarebytes, le app maligne più comuni si mascherano da AdBlocker.

Insieme alle app, anche i file infetti sono molto popolari tra gli hacker Android. Generalmente è l’utente a scaricare inavvertitamente il malware sul suo dispositivo, visitando siti web sospetti o interagendo con pop-up fastidiosi che avviano così il download del file in questione, cercando di convincere poi l’utente ad aprirlo per ad avviare l’infezione. I file in questione sono spesso file di installazione di app piratate o truccate, ma non mancano casi di file di altro genere. I link, come vere e proprie esche, vengono segnalati alla vittima via app di chat (come WhatsApp e Telegram), email e così via.

In questa disamina inseriamo anche le pubblicità infette, rintracciabili spesso su siti web di natura pornografica, illegale e violenta – quel genere di piattaforme che non possono mostrare le pubblicità del circuito Google AdSense per via dei contenuti sensibili che questi siti ospitano, e che dunque si appoggiano su network pubblicitari più redditizi ma meno sicuri.

Nel novero delle pubblicità infette inseriamo anche le app che diventano malware tramite la pubblicità: è successo più di una volta (il caso più eclatante è stato quello dell’app CamScanner) che un’applicazione con una solida reputazione venisse espulsa dal Play Store poiché sorpresa a contenere un virus Android, proveniente da un file SDK utilizzato per la visualizzazione di pubblicità nell’app. Strategia per infettare un’app senza che i sistemi di antivirus di Google intervengano, o banale errore?

COME RICONOSCERE VIRUS ANDROID

Una volta studiata la teoria, è bene conoscere la pratica: come riconoscere virus Android? Per rispondere a queste vostre domande abbiamo realizzato un piccolo vademecum di 6 indizi utili che possono indicare che l’app che avete installato è un malware. Ecco dunque una breve lista di indizi che possono suggerirvi che il vostro smartphone è stato infettato da un malware per Android.

#1 – L’APP NON VIENE SCARICATA DA FONTI ATTENDIBILI

Scaricare un’app al di fuori di Google Play è automaticamente una fonte di preoccupazione. Benché le tecnologie di prevenzione dei virus di Google non siano perfette, allo stato attuale rappresentano la principale garanzia per un utente che l’app che va a installare non sia un malware. Esistono certamente alcuni app store di terze parti più sicuri di altri – i già citati Amazon App Shop e lo store di app open-source F-Droid – ma altri ancora possono nascondere minacce invisibili, come APKPure. Dicasi lo stesso per i siti web che offrono il download diretto delle proprie applicazioni: non essendo passati attraverso alcun controllo, non sono completamente affidabili.

#2 – LE RECENSIONI DELL’APP SONO NEGATIVE

Per riconoscere virus Android basterebbe a volte controllarne le recensioni: frequentemente i virus presenti sul Play Store, così come in altri market di applicazioni, dispongono di recensioni estremamente critiche e negative da parte di utenti infuriati che hanno avuto la sfortuna di installarle, e scoprire che al posto dell’app che pensavano che avrebbero installato si è palesato un malware di qualche tipo.

Leggete dunque sempre le recensioni delle app che state per installare e che vi sembrano in un qualche modo sospette – potrebbero salvarvi da un brutto quarto d’ora.

#3 – L’APP CHIEDE PERMESSI SENSIBILI INUTILI

Il primo indizio per riconoscere virus Android si nasconde nella quantità di permessi che vi saranno richiesti per farla funzionare la prima volta. Secondo Adam Bauer, ricercatore presso il laboratorio di sicurezza Lookout, esistono due modi attraverso i quali un malware Android riesce a stabilirsi a tempo indeterminato nello smartphone della vittima: la richiesta eccessiva di permessi, spropositata rispetto alle funzionalità dell’applicazione; oppure lo sfruttamento di vulnerabilità nel codice di sviluppo di Android – i quali esulano però dalla trattazione di questo articolo.

Per questo motivo oramai i virus Android si nascondono sotto le mentite spoglie di AdBlocker e VPN: si tratta di tecnologie che teoricamente dovrebbero proteggere l’utente da virus e malware e salvaguardare la sua privacy; tuttavia, dato che per garantire il loro funzionamento richiedono l’accesso a permessi sensibili, l’utente è meno guardingo e tende a concederli con più facilità – e questo gli sviluppatori di malware lo sanno.

Quali sono questi permessi? I più sensibili sono:

• l’accesso alle notifiche. Consente a un’app di controllare quali notifiche vengono visualizzate nella schermata a tendina delle notifiche del telefono. Un’app maligna può nascondere le notifiche generate dalla sua attività fraudolenta, come il download di file infetti e gli SMS di notifica degli abbonamenti a cui iscrive l’inconsapevole utente. Per verificare quali app hanno accesso alle notifiche, andate su “Impostazioni” > “Applicazioni e notifiche” > “Applicazioni predefinite” > “Accesso applicazione speciale” > “Accesso notifiche“;
• l’accesso facilitato. Conosciuto come Accessibility Services API, questo permesso è stato pensato da Google per consentire alle app per persone con difficoltà motorie o visive di interagire con lo smartphone tramite la voce o altri movimenti che non richiedono l’interazione fisica con lo smartphone. Potrete riconoscere virus Android che chiederanno l’accesso a questo permesso, poiché permette a un malware di compiere azioni sullo schermo (come cliccare su pubblicità) senza che l’utente se ne accorga. Per verificare quali app possiedono questo permesso, andate su “Impostazioni” > “Accesso facilitato“, e verificate per quali app è presente la dicitura “Attivo“;
• amministratore dispositivo. Si tratta del permesso più sensibile di tutti, poiché permette di prendere controllo del dispositivo senza limiti di sorta. Un malware che ottenga questo permesso è difficilissimo da rimuovere, pertanto siate molto cauti e concedetelo solo ad app di cui vi fidate assolutamente. Per controllare quali applicazioni hanno questo permesso, andate su “Impostazioni” > “Applicazioni e notifiche” > “Applicazioni predefinite” > “Accesso applicazione speciale” > “Applicazioni amministratore dispositivo“.

Anche l’accesso a permessi sensibili come Posizione, Fotocamera e Microfono sono indizi che un’app – qualora non li richieda per le sue funzioni – sia un malware sotto mentite spoglie.

#4 – L’APPLICAZIONE SCOMPARE DALL’APP DRAWER

L’app drawer è la schermata dove vengono elencate tutte le applicazioni installate nel dispositivo. Capirete subito come riconoscere virus Android poiché questi generalmente, una volta installati, si nascondono dall’elenco auto-cancellando la propria icona, nella speranza di agire “sottotraccia” il più possibile. Qualora un’app abbia un simile comportamento (e non sia spiegato da una funzione particolare e ragionevole dell’applicazione), disinstallatela subito cercandola nella lista delle app installate su “Impostazioni“.

#5 – L’APPLICAZIONE CONSUMA TROPPI DATI/BATTERIA

Ci sono alcune app che consumano molto poiché hanno bisogno di molte risorse per funzionare. Possono essere giochi dalla grafica molto avanzata, ma anche social network, app di posta e altre applicazioni che richiedono una costante connessione a Internet per funzionare. Altre app invece no. Se notate un repentino calo di batteria o un aumento improvviso del traffico dati consumato, andate:

• su “Impostazioni” > “Batteria” e verificate quali app stanno drenando l’energia dello smartphone. Se tra queste vi è elencata un’app che non usate e che non dovrebbe consumare così tanto (come un’icon pack), allora disinstallatela;
• su “Impostazioni” > “Rete Internet” > “Utilizzo dati” e verificate quali app stanno consumando i vostri Gigabytes, specie in background (ossia quando l’app non è aperta in primo piano).

#6 – L’APPLICAZIONE CONSUMA TROPPA RAM

Anche il consumo di RAM (ossia della capacità di un telefono di gestire più app contemporaneamente) è un buon indizio per capire come riconoscere virus Android. Un’app che consuma più RAM del dovuto è un’app che sta “tramando” qualcosa sottobanco, impegnando le energie dello smartphone per i suoi scopi. Potete accorgervene nel caso in cui il telefono sembri più lento del normale, segno che un’app sta drenando tutte le risorse disponibili. Per verificare quale app è responsabile, andate su:

• “Impostazioni” > “Sistema” > “Memoria” > “Memoria usata dalle applicazioni“; qui vedrete un elenco del consumo della memoria RAM operata dalle app in un intervallo di 3/6/12/24 ore, a vostra scelta.

#7 – L’APP MOSTRA NOTIFICHE NON RICHIESTE

Altro chiaro segnale che ci sia qualcosa che non va con l’app che avete installato è l’apparizione di notifiche non richieste, insistenti e persistenti; spesso sono le prime avvisaglie di un’infezione da adware. Per capire quale app è responsabile delle notifiche di cui non riuscite a liberarvi, eseguite un tap prolungato sulla notifica fino a che la notifica verrà “sostituita” da una scheda di sistema tramite la quale interrompere la ricezione di notifiche. A chiare lettere la scheda vi mostrerà anche il nome dell’applicazione che ha generato la notifica – app che vi consigliamo di… esatto, di disinstallare al più presto.