Purtroppo il mito dell’antivirus completamente infallibile si rivela ancora una volta irraggiungibile. L’ultimo a farsi “ingannare” dagli abili creatori di malware è niente meno che Play Protect, la nuova misura di sicurezza di Google per Android svelata nel corso dell’I/O 2017 (e in distribuzione sui dispositivi da qualche settimana). La nota società di sicurezza Check Point Software ha infatti raccontato sul suo blog ufficiale di ExpensiveWall.
Il nome del malware deriva dall’app in cui è stato scovato per la prima volta, ovvero Lovely Wallpaper, un’app di sfondi; ma in totale è risultato presente su un centinaio abbondante di app, per un totale di download stimati tra 5 e 20 milioni (usando gli indicatori del Play Store stesso). Il malware, tra le altre cose, iscriveva a servizi SMS premium indesiderati e aveva il potenziale per fare ben di peggio – rubare dati personali e catturare foto o video.
Come spesso accade, i primi indizi che che le app non fossero particolarmente oneste erano ben evidenti già in fase di installazione: permessi sospetti, recensioni di denuncia e medie dei punteggi estremamente basse. Check Point dice che, una volta installate sul dispositivo, le app si connettevano a un server di terze parti a intervalli regolari ed eseguivano in locale i contenuti inviati attraverso un processo WebView incorporato.
È una tecnica di attacco che Play Protect dovrebbe riuscire a riconoscere, anche perché non è certo nuova; nuovo, però, era il metodo di offuscamento del malware impiegato dai cybertruffatori. In ogni caso, pare che la risposta di Google sia stata rapida: abbiamo testato una ventina di URL delle app malevole a caso e nessuna di esse risulta più disponibile, sicché è ragionevole supporre che siano già state eliminate tutte dal Play Store. Ci sarebbe poi da stupirsi se il motore di Play Protect non fosse stato aggiornato per riconoscere la nuova minaccia.