Cosa sapere su Showbox, il malware che distribuisce film e serie TV pirata

Showbox – o, per meglio dire, il malware che si maschera quale app Showbox – parrebbe essere un trojan modulare, ossia un’app che si intrufola nei dispositivi adottando un travestimento, e che per funzionare ha bisogno di file aggiuntivi, che vengono scaricati dopo che l’app è stata installata.

L’app infetta è stata per la prima volta identificata dalla redazione della rivista online Androidpolice.com, che ha scoperto non solo una, ma diverse applicazioni corrispondenti alla medesima descrizione e che avevano adottato lo stesso mascheramento.

Come specificato dall’analisi tecnica condotta dalla rivista, l’applicazione non è di per sé pericolosa – di conseguenza non è possibile dire che Samsung stia avvallando la distribuzione di malware. È anche vero che l’app viene segnalata dalla suite antivirus del Play Store (il market di app di Google), Google Play Protect, quale “malware”; e così anche dal tool online messo a disposizione da Virus Total, che confronta la cifratura del file .apk dell’applicazione con i database di numerosi antivirus, ricevendo una segnalazione positiva da una ventina di questi.

La procedura di attacco di Showbox è piuttosto semplice. Il malware, che evidentemente non dispone di un sistema di mascheramento adeguato per sorpassare le difese del Play Store (come spiegato nella scheda precedente), ha optato per la distribuzione attraverso di uno dei più diffusi market secondari di app Android, il Samsung Galaxy Store. Quest’ultimo viene installato di default su tutti i dispositivi Samsung, i cui numeri nel mondo si aggirano nell’ordine dei miliardi – capirete bene dunque le potenzialità di un simile pericolo.

Il malware ha utilizzato come mascheramento un’app popolare tra chi guarda contenuti pirata, come serie TV e film, chiamata Showbox. Benché Showbox non si fosse mai promossa come un’applicazione per la visualizzazione di contenuti illegali, la sua descrizione comunque menzionava l’accesso a un “database di film” con VPN connessa… è facile intuire con quali finalità. Allo stesso modo vengono promosse quelle app che sono distribuite online, così come quelle presenti sul Galaxy Store.

L’app Showbox che prendiamo in considerazione in questo articolo non è nemmeno originale, bensì un clone: sul Galaxy Store se ne trovano diverse, tutte fasulle. Stando infatti al subreddit ufficiale di Showbox, l’applicazione non è più in circolazione da due anni almeno, e che tutti i siti web che dichiarano di distribuirla sono fasulli, o quantomeno non affiliati agli sviluppatori originali.

L’applicazione, come già specificato, non è un malware di per sé, ma per sua struttura permette il download di pacchetti d’installazione che, potenzialmente, potrebbero essere virus; per questo motivo sia la suite di Virus Total che Google Play Protect ne segnalano la natura maligna. Come sostiene lo sviluppatore e analista linuxct, ci sono ben pochi scopi per cui una natura del genere possa essere legittima, per cui è bene diffidarne. Almeno altre due app “Showbox” sono state segnalate allo stesso modo dalle analisi condotte da Android Police.

Non è noto sapere quante volte l’applicazione sia stata scaricata, in quanto il Galaxy Store non integra un indicatore numerico del numero di download delle app, come sul Play Store; tuttavia sono presenti migliaia di recensioni, alcune delle quali segnalano le indicazioni della natura maligna dell’app da parte del Google Play Protect.

Il nostro suggerimento, ovviamente, è di non scaricare l’app in questione; il Galaxy Store, benché sia gestito da uno dei più grandi produttori di smartphone, non dispone delle stesse garanzie in materia di sicurezza del Play Store che vi consigliamo di utilizzare quale principale fonte di reperimento di applicazioni. Se proprio volete farne uso, date sempre un’occhiata alle recensioni prima di scaricare un’app sospetta, così da ricevere i benefici dell’avvertimento di chi, prima di voi, ha compiuto l’errore di scaricarla.