Si chiama Guerilla e prova a superare i meccanismi di protezione anti-frode di Google Play Store. Il malware, scoperto dagli esperti di Kasperky Lab, usa un’applicazione client rogue Google Play che si comporta come se dietro ci fosse un vero umano. Questa falsa applicazione permette ai cyber criminali di condurre campagne pubblicitarie sospette usando dispositivi infetti per scaricare, installare, valutare e commentare le applicazioni mobile disponibili su Google Play. Il malware è in grado di ingannare i meccanismi di Google Play solo dai dispositivi su cui è stato effettuato il root.
Essendo una piattaforma con milioni di utenti e sviluppatori software, Google Play è un obiettivo attraente per i cyber criminali. Tra le altre cose, i criminali utilizzano il Google Play Store per condurre le cosiddette campagne Shuabang, molto diffuse in Cina. Si tratta di attività pubblicitarie disoneste volte a promuovere alcune app legittime assicurando loro i punteggi massimi, aumentando i tassi di download e postando commenti positivi su Google Play. Le app usate per condurre queste campagne pubblicitarie normalmente non costituiscono alcuna minaccia “standard” per il proprietario di un dispositivo infetto, come il furto di informazioni o di denaro, ma possono comunque causare danni: la capacità di scaricare ulteriori app sul dispositivo infetto comporta costi aggiuntivi per il traffico Internet del dispositivo mobile e, in alcuni casi, le app Shuabang sono in grado di installare di nascosto programmi a pagamento, insieme ad altri gratuiti, usando, come metodo di pagamento, la carta di credito registrata nell’account Google Play della vittima.
Per condurre queste campagne, i criminali creano numerosi falsi account Google Play o infettano i dispositivi degli utenti con malware dedicati, che conducono attività nascoste su Google Play in base ai comandi ricevuti dagli hacker.
Sebbene Google abbia forti meccanismi di protezione, che aiutano a rilevare e bloccare i falsi utenti per prevenire operazioni nocive, sembra che gli sviluppatori del trojan Guerrilla stiano cercando di aggirarli.
Il trojan viene installato nel dispositivo preso di mira attraverso il rootkit Leech – un malware che attribuisce a un cyber criminale i privilegi del dispositivo infettato. Questi privilegi permettono agli hacker di modificare a piacimento le informazioni sul dispositivo. Inoltre, in questo modo gli hacker ottengono l’accesso a username, password e token di autenticazione della vittima, che sono necessari affinché un’app comunichi con i servizi ufficiali di Google e sono inaccessibili per le comuni applicazioni su dispositivi di cui non è stato fatto il root. Dopo l’installazione, il trojan Guerrilla usa queste informazioni per comunicare con il Google Play Store come se fosse un’app autentica di Google Play.
I criminali fanno molta attenzione: usano le informazioni di autenticazione su un vero utente e fanno richieste da parte della falsa applicazione client a Google Play molto simili alle richieste effettuate dalle applicazioni reali.
Un’altra caratteristica insolita di questo trojan è che gli sviluppatori del malware hanno provato a imitare il modo in cui un utente reale interagisce con il Play Store. Ad esempio, prima di richiedere la pagina su cui si trova una particolare app, viene effettuata una ricerca per l’app di interesse, proprio come farebbe un essere umano.
“Guerrilla non è la prima app nociva che prova a sfruttare il Google Play Store, ma lo fa in un modo particolarmente sofisticato, che non abbiamo mai visto prima. Il pensiero dietro a questo metodo è chiaro: Google probabilmente può distinguere con semplicità le richieste fatte a Google Play dai robot; la maggior parte dei malware Shuabang che conosciamo si limitano infatti a mandare richieste per la pagina dedicata a una specifica app – spiega Nikita Buchka, esperto di sicurezza di Kaspersky Lab – Questo non è quello che farebbe una persona reale, quindi è facile per Google capire che la richiesta non viene da un utente autorizzato. Il malware che effettua una ricerca per un’app prima di visitare la sua pagina è più difficile da rilevare, in quanto è lo stesso comportamento della maggior parte degli utenti di Google Play. Tuttavia, è importante notare che questo malware è capace di aggirare i meccanismi di Google Play solo da dispositivi su cui è stato fatto il root, il che ci ricorda nuovamente dell’importanza di evitare smartphone e tablet Android rootati”.