Circa 10 milioni di dispositivi intelligenti con sistema Android sarebbero stati esposti ad attacchi informatici dopo che la app Barcode Scanner, un popolare strumento di scansione di codici a barre, ha ricevuto un aggiornamento dannoso che l’ha trasformata in una pericolosa variante di malware. La app, disponibile sulla piattaforma ufficiale di Google Play, offre un lettore di codici QR e un generatore di codici a barre, che lo hanno reso uno strumento molto popolare.
Secondo un rapporto preparato dalla società di sicurezza Malwarebytes, più utenti hanno iniziato a segnalare comportamenti anomali nell’applicazione, che dava sempre l’impressione di essere un software legittimo e sicuro. Sebbene in casi simili questo comportamento sia correlato a pubblicità indesiderate e pubblicità dannose collegate a nuove applicazioni, gli utenti hanno affermato di non aver installato strumenti relativi a Barcode Scanner, sviluppato da Lavabird Ltd. Tuttavia, dopo una breve analisi gli esperti hanno scoperto il problema con la app.
I problemi sono iniziati dal rilascio di un aggiornamento software che ha modificato la funzione per mostrare annunci senza preavviso. Gli specialisti affermano che molti sviluppatori decidono di rilasciare aggiornamenti imprevisti per trasformare le loro app in macchine pubblicitarie notturne, cercando maggiori entrate pubblicitarie o costringendo i loro utenti ad acquistare un abbonamento a pagamento.
“Gli utenti possono accedere alle versioni gratuite di una app, consentendo agli sviluppatori di guadagnare entrate pubblicitarie. Tuttavia, a volte i creatori di kit di sviluppo software (SDK) per la pubblicità possono apportare modifiche molto aggressive, che influiscono sull’esperienza dell’utente”, affermano gli specialisti.
Sebbene nella maggior parte dei casi queste modifiche siano attribuite a terze parti, il rapporto Malwarebytes menziona che il codice dannoso è stato incluso direttamente nell’ultimo aggiornamento di Barcode Scanner, intenzionalmente nascosto dagli sviluppatori della app. I ricercatori hanno persino rilevato la stessa firma di sicurezza utilizzata negli aggiornamenti precedenti.
Dopo aver ricevuto il rapporto, Google ha deciso di rimuovere questa app dal suo store ufficiale e iniziare le ricerche sugli sviluppatori. Va ricordato che il rischio rimane inattivo per gli utenti che continuano a utilizzare questa app, quindi si consiglia di disinstallarla da qualsiasi dispositivo il prima possibile.
Questo è un vettore di attacco utilizzato da sviluppatori malintenzionati per tentare di eludere i meccanismi di sicurezza nel Google Play Store, quindi gli specialisti temono che a breve vengano visualizzati casi simili. Un altro metodo simile è l’implementazione dei controlli del sensore di movimento, cioè varianti di malware che vengono attivate fino a quando l’utente non interagisce fisicamente con il proprio dispositivo infetto, un attacco impiegato principalmente dagli operatori di trojan bancari un paio di anni fa.