Il Play Store di Google non è un luogo completamente sicuro, nonostante i numerosi controlli che lo rendono quantomeno più affidabile rispetto ai marketplace di applicazioni Android non ufficiali. I ricercatori della società di cybersicurezza francese Pradeo hanno segnalato l’esistenza di un trojan capace di rubare credenziali di Facebook, il quale si nascondeva in un’applicazione ludica chiamata Craftsart Cartoon Photo Tools.
Un’app che ha superato i 100mila download (la piattaforma Play Store non comunica pubblicamente il numero esatto ma solo la categoria di popolarità) e che consente agli utenti di generare degli avatar in stile fumetto o ritratto a partire da fotografie. Peccato che al suo interno si celasse il trojan Facestealer, capace di intercettare le credenziali di accesso a Facebook della persona che eseguiva un login sull’applicazione. I dati intercettati venivano inviati a server collocati in Russia. Si parla al passato perché fortunatamente Google ha eliminato questo prodotto dal Play Store, anche su evidenza delle numerose recensioni negative.
Di questi tempi, come sappiamo, la Russia e i suoi hacker stanno creando al mondo ben altri problemi, ma anche il furto di credenziali di Facebook può rappresentare un’attività strategica all’interno di campagne di cyberspionaggio o di cyberstalking. Ancor più spesso queste attività sono rese possibili dall’acquisto di credenziali messe in vendita nel mercato nero del Web, frutto di precedenti “bottini” realizzati con violazioni o con malware come Facestealer.
Anche senza scomodare il cyberspionaggio, l’operazione segnalata da Pradeo può aver avuto conseguenze dannose di vario tipo per le vittime. Una volta entrati in un account di Facebook, infatti, i cybercriminali possono intercettare dati personali non pubblicamente visibili nel profilo, oltre a conversazioni private e a dettagli di carta di credito collegati.
La stessa Pradeo aveva già segnalato, lo scorso dicembre, un’altra applicazione dannosa molto popolare sul Play Store, installata da più di 500mila persone: Color Message, questo il nome, veniva presentata come un’app di editing, utile per personalizzare i colori dei messaggi Sms. Un malware nascosto al suo interno, il prolifico Joker, consentiva ai criminali di fare soldi (tramite click automatici su annunci pubblicitari e iscrizioni a servizi premium) e di accedere alla lista di contatti dell’utente. Anche in quel caso, i server di comando e controllo del malware erano collocati in Russia.
Ma come possono accadere episodi simili, anche su un marketplace ufficiale? Google Play ha definito dei protocolli che dovrebbero impedire in automatico la pubblicazione di applicazioni contenente codice malevolo. Talvolta, però, le applicazioni truffaldine vengono realizzate utilizzando con il contagocce gli elementi di codice dannosi e cercando di nasconderli, così da sfuggire al rilevamento.