app-android-virus-malware

Installare sullo smartphone un'app proveniente da fonti non attendibili non è mai una buona idea, ma se mai ci fosse bisogno di un esempio per ricordare la pericolosità di questa pratica i ricercatori di Promon ne hanno appena trovato uno: si chiama StrandHogg ed è una vulnerabilità scoperta recentemente all'interno di tutte le versioni del sistema operativo Android. Il bug permette a eventuali malware che lo sfruttano di guadagnarsi in modo piuttosto semplice l'accesso ad alcune delle funzioni principali del telefono e ai dati che contiene, e stando al rapporto che ne hanno fatto i ricercatori è particolarmente insidioso e pericoloso.

Cos'è StrandHogg

La vulnerabilità riguarda il modo in cui Android passa da un'app all'altra, portandone le schermate in primo piano o sullo sfondo, a seconda delle esigenze. I ricercatori hanno infatti scoperto che in alcune particolari condizioni il sistema operativo confonde le operazioni tra le app in esecuzione: l'anomalia consente ad eventuali hacker di scrivere programmi studiati per approfittare della situazione e infilarsi in questo meccanismo per scopi illeciti.

Come viene sfruttato il bug

È esattamente quello che sta accadendo da tempo imprecisato: diverse organizzazioni — ha affermato Promon citando fonti in ambito bancario — sono già a conoscenza di questo bug e lo sfruttano realizzando dei malware mascherati da app legittime. Queste app, una volta scaricate, si comportano in modo apparentemente normale, ma quando non utilizzate restano in attività sullo sfondo aspettando il momento opportuno per entrare in azione.

Il trucco delle schermate false

Grazie a StrandHogg i malware riescono infatti far apparire schermate o porzioni di schermate sul display del telefono in qualunque momento, anche mentre sta venendo utilizzata attivamente un'altra app: l'utente, che dal canto suo non si aspetta questo tipo di comportamento, tende a credere che ciò che sta vedendo provenga invece dall'app in primo piano.

Cosa possono fare i malware

Giocando su questa ambiguità i malware possono visualizzare ad esempio schermate che chiedono agli utenti il permesso di accedere alla memoria del dispositivo, all'invio di SMS, e a molte altre funzioni. Gli utenti — credendo che a chiedere questi permessi siano app come il social network, il browser o la fotocamera, forniscono il permesso richiesto — senza sapere però che l'app che lo sta chiedendo è il malware, che può così accedere ai file nel telefono per inoltrarli online, iscriversi a costosi servizi a pagamento o effettuare chiamate dall'altra parte del mondo.

A rischio le credenziali di accesso

In uno scenario ancora più inquietante, i malware che fanno leva su StrandHogg possono attendere che gli utenti aprano la loro app di home banking per visualizzare in sovrimpressione una finta schermata per l'accesso. Le vittime in questo caso immettono le credenziali all'interno di un modulo che non viene inviato ai sistemi di autenticazione della banca, ma agli sviluppatori del malware.

Perché è pericoloso

Il bug rappresenta una minaccia da non prendere sottogamba per più motivi: innanzitutto coinvolge tutte le versioni di Android compresa la più recente, il che vuol dire — stando ai festeggiamenti di Google che risalgono a maggio di quest'anno — più di 2 miliardi di dispositivi. Inoltre, secondo i test effettuati dai ricercatori, rende vulnerabili tutte le 500 app più scaricate del Play Store: ciascuna cioè può essere sopraffatta dalle schermate fasulle degli eventuali malware installati.

Proteggersi è facile

Fortunatamente, per chi utilizza il telefono in modo responsabile è difficile correre rischi. Per poter fare dei danni, i malware che contengono il codice in grado di sfruttare StrandHogg vanno per forza di cose scaricati e installati; i ricercatori hanno già scoperto 36 app infette, ma nessuna di queste è ospitata all'interno del Play Store: per rimanere al sicuro è sufficiente prestare attenzione a ciò che si scarica, puntando solo su app ben conosciute e provenienti da fonti affidabili.