ExpensiveWall, oltre 50 le app Android infettate dal malware

Una falla trovata in Play Protect, la piattaforma introdotta da Google per mantenere piu’ al sicuro i dispositivi Android, ha messo a rischio milioni di utenti di Android.

Stando a quanto riportato dai ricercatori della società di sicurezza Check Point, sono almeno 50 le applicazioni del Play Store contenenti il malware soprannominato "ExpensiveWall" che Play Protect non è riuscito a scovare analizzando i dispositivi alla ricerca di vulnerabilità, permettendo quindi di essere scaricate, installate ed eseguite sui device degli utenti.

Le applicazioni infette sono state rimosse, ora non si trova piu’ nel Play Store, ma il malware risulta essere stato scaricato tra 1 milione e 4,2 milioni di volte prima l’intervento di rimozione da parte di Google. E’ quanto hanno reso noto gli esperti di sicurezza di Check Point.

Il malware, come riportato da Cnet, si nascondeva in app che promettevano wallpaper gratis, app per il foto/videoritocco e di altre varie tipologie.

ExpensiveWall si ritiene pericoloso poichè, una volta scaricata e installata l’app infetta, va a registrare il device a vari servizi a pagamento o invia messaggi di testo a numeri a pagamento in automatico.

ExpensiveWall si ritiene simile ad un malware che McAfee ha trovato nel Google Play nel mese di gennaio, il quale avrebbe infettato un certo numero di applicazioni scaricate dagli utenti Android tra i 5,9 e 21,1 milioni di volte, secondo Check Point.

Google Play Protect, sicurezza globale per Android

Quando gli sviluppatori chiedono l’approvazione di un’app prima di poterla distribuire tramite il Play Store, Google applica dei controlli automatici durante la revisione ma se ci sono malware che riescono bene a nasconderli all’interno dell’app i controlli falliscono, come nel caso di ExpensiveWall. Le applicazioni infette sono state in grado di eludere anche Play Protect di Google, che dovrebbe eseguire la scansione dei dispositivi Android alla ricerca di software dannoso eventualmente già presente nel dispositivo – questo perchè gli ideatori del malware sono riusciti ad utilizzare una tecnica avanzata di compressione che a quanto pare non viene analizzata dal sistema di Google.

Check Point ha riferito a Google la sua scoperta del malware il 7 agosto, confermando che la società si è tempestivamente attivata per rimuovere le app infette. Tuttavia, pochi giorni dopo, il malware ha infettato altri 5.000 dispositivi, ha detto Check Point, per poi essere rimosso una seconda volta.

"Abbiamo rimosso queste applicazioni dal Play Store e abbiamo sempre apprezzato gli sforzi della comunità di ricerca per aiutare a mantenere l’ecosistema Android al sicuro", ha dichiarato un portavoce di Google in una dichiarazione (via time.com). Se gli utenti ancora dispongono di un’applicazione infetta sul proprio telefono, le applicazioni devono essere rimosse manualmente.

Google Play Protect è un servizio attivo per impostazione predefinita, ma è possibile disattivarlo. Per motivi di sicurezza, è tuttavia consigliato tenere sempre attivo il servizio Google Play Protect. Gli utenti sono comunque liberi di fare come meglio credono, e per disattivare Google Play Protect o riattivarlo è sufficiente aprire l’app Google Play Store Google Play sul dispositivo, toccare Menu (icona delle tre linee orizzontali) e poi Play Protec: qui è possibile attivare o disattivare l’opzione ‘Analizza dispositivo per minacce alla sicurezza’.