Lo scorso mese di marzo, per l’ennesima volta, sono state intercettate online false app di messaggistica istantanea. A settembre è emerso che, oltre a WhatsApp e Telegram, i cyber criminali hanno messo nelle proprie mire anche Signal, app che si è guadagnata un nome proprio per le sue virtù di sicurezza e privacy.

I sistemi operativi target sono Android e Windows, sono stati quindi risparmiati gli utenti che usano sistemi Apple. Ciò toglie poco al discorso generale: gli utenti che hanno istallato le app fasulle non si sono fatti domande.

Adware su Android: oltre 60mila app l’hanno installato di nascosto

Le false app di messaggistica istantanea

Nel caso specifico, ossia quello osservato lo scorso mese di marzo, alcuni esperti di sicurezza hanno rilevato cloni con trojan di WhatsApp, Telegram e, durante l’estate, anche di Signal.  

Episodi che non sono strettamente collegati tra loro ma che hanno comunque un file-rouge: gli utenti che le hanno istallate non hanno la benché minima idea della profilassi da seguire per muoversi in sicurezza sugli store di applicazioni.

Le false app sono state diffuse mediante campagne pubblicitarie i cui link portavano al download diretto, facendo così in modo che le persone le utilizzassero ignare di avere per le mani una app con dei malware (clipper, su tutti) capaci di intercettare le porzioni di testo copiate e modificarne il contenuto, ma anche di sfruttare tecniche per scansionare screenshot ed esportare dati sensibili. Altre app fasulle si sono rivelate essere cryptominer, codice dannoso che usa la potenza di calcolo dei dispositivi sui quali gira per soddisfare le esigenze di mining di criptovalute degli attaccanti.

Qui non ci concentriamo sulla notizia in sé, ma sui motivi per i quali simili notizie appaiono con una certa regolarità e, ogni volta, c’è qualcuno che abbocca all’amo. Le due cose sono ovviamente collegate: meno persone cadono in queste trappole (peraltro facili da evitare), meno queste notizie guadagnano gli onori delle cronache. Affidandoci alla voce di esperti, sondiamo il fenomeno anche per capire come evitarlo.

Perché si cade nella trappola

Uniamo i pareri dei diversi esperti che sono intervenuti nel dibattito. Secondo Cristina Spagnoli, Head of GRC & Strategic Consulting di Swascan, le persone tendono a cadere nella trappola delle false app “Perché in generale siamo tutti attratti da ciò che è originale e diverso, e da ciò che è ben pubblicizzato. Ciò può agilmente prevaricare l’istinto che ci porterebbe a essere cauti e accorti se di base non c’è un buon livello di consapevolezza ma ancor di più di ‘cultura’ della cyber security, vale a dire di condivisione profonda di principi e valori di sicurezza”.

Quello della consapevolezza è un tema centrale anche nella cyber security e ritorna anche nelle parole di Sandra Marsico, Customer Success Manager di Swascan: “In generale le persone vengono attratte dalla possibilità di ottenere app non disponibili sugli store ufficiali, versioni modificate con funzionalità extra, o semplicemente dalla (errata) convinzione che queste fonti siano affidabili. Non tutti sono consapevoli dei rischi associati al download di app da siti terzi, alcuni non hanno comprensione di cosa sia uno store ufficiale. Nel caso specifico però è molto plausibile che gli utenti siano stati attirati proprio in virtù del fatto che queste app di messaggistica sono bloccate in regioni come la Cina. L’accesso limitato li spinge a cercare alternative su siti terzi, aumentando il rischio di incappare in versioni infette. Interessante è osservare il fatto che anche utenti presumibilmente tecnologicamente evoluti (stiamo pur sempre parlando di persone che effettuano transazioni in criptovalute) possano cadere vittime di truffe online. Non è una situazione nuova per gli esperti del settore, ma è sempre importante sottolineare che avere una buona conoscenza tecnica non si traduce automaticamente in una comprensione approfondita delle tematiche di sicurezza informatica o della messa in atto di buone norme di comportamento”.

Dario Buonocore, Incident Handler e Senior SOC Analyst di Swascan, alza ancora l’asticella della complessità dell’argomento: “Purtroppo, la falsa speranza di avere funzionalità aggiuntive che con alcune app sono a pagamento (vedi Telegram con piano Premium che mette a disposizione funzionalità aggiuntive come Unlimited Cloud Storage, Voice-to-Text Conversion eccetera) porta molti utenti soprattutto su dispositivi Android a scaricare da fonti non ufficiali tali applicazioni.  La limitazione anche da parte di Google di non mettere a disposizione i suoi servizi (come il Playstore) su alcuni vendor produttori di Smartphone (come Huawei) potrebbe indurre l’utente finale a cercare la app su siti poco sicuri”.

I rimedi

Considerazioni, queste ultime, che portano a coinvolgere chi gli store di app li gestisce, ossia tipicamente Google, Microsoft e Apple, anche se lo store di Cupertino applica regole rigidissime per prevenire la pubblicazione di app insidiose, in attesa di vedere come si comporterà  se dovesse permettere il sideloading, ossia se dovesse aprire le porte a store gestiti da terzi.

Tali store possono (o devono) fare di più? “Sicuramente l’awareness può aiutare a mitigare in parte tale fenomeno, i vendor a oggi hanno in parte cercato di mitigare tale fenomeno aumentando i controlli sia delle app pubblicate sui propri store, che limitando l’utente finale nell’installare app non firmate”, continua Buonocore.

Gli store dovrebbero fare di più ma c’è anche e soprattutto bisogno che gli utenti siano più accorti, come illustra Sandra Marsico: “Questo è l’ennesimo fenomeno che sottolinea la necessità di una maggiore educazione e consapevolezza dei rischi legati al mondo digitale. Molti potrebbero non essere pienamente consapevoli dei rischi legati al download di app da fonti non ufficiali, o potrebbero sottovalutare la sofisticatezza dei siti fraudolenti”.

Nelle trincee del cyber crimine non mancano le armi ad alto potenziale offensivo: “Teniamo anche presente che con l’evoluzione dell’intelligenza artificiale, siti fraudolenti, e-mail di phishing e messaggi di smishing (insieme ad altri tipi di attacchi che sfruttano il social engineering) stanno diventando sempre più sofisticati e difficili da distinguere dalle loro controparti legittime. Per contrastare efficacemente queste minacce, è cruciale fornire una formazione continua e seria agli utenti. Ricordiamoci che l’efficacia della formazione tende a diminuire nel tempo e che è importante mantenere un alto livello di consapevolezza e aggiornamento costante. Le sessioni formative fatte ‘una tantum’ non sono più sufficienti a proteggere le persone da minacce che sono costantemente presenti: sia in ambito lavorativo che personale”, conclude Sandra Marisco.

Come disfarsi delle app malevole

Avere maggiore cultura della cyber security e una più alta consapevolezza dei rischi a cui tutti sono esposti sono un coltellino svizzero ma non per forza di cosa un passepartout. Quando il danno è fatto occorre porvi rimedio: “Molte volte – spiega Dario Buonocore – le app che hanno infettato il dispositivo tentano di nascondersi all’interno di esso, magari fingendosi app di sistema: questo proprio per creare una persistenza ed evitare di esser eliminate. Il consiglio principale è sicuramente quello di resettare il device e installare degli agent antimalware in grado di scansionare e proteggere il device una volta ripristinato”.

Il reset alle condizioni di fabbrica sembra quindi un passo quasi obbligato, così come del resto ribadisce David Brunetti, Senior SOC Analyst di Swascan: “Non è sempre sufficiente rimuovere l’app per accertarsi di essere fuori pericolo. In alcuni casi l’app potrebbe aver generato un’infezione, quindi l’app potrebbe aver avuto un comportamento del tutto riconducibile ad un malware (creato una backdoor, generate degli artefatti come key logger, eccetera). In questo caso un ripristino di fabbrica del prodotto è una soluzione più efficace e sicura”.

Tiriamo le somme

I pareri degli esperti di Swascan possono essere riassunti dall’intervento di Riccardo Michetti, Senior Security and Cyber Threat Analyst dell’azienda con sede principale a Cernusco Sul Naviglio.

Le persone tendono a cadere nella trama tessuta dalle false app “per una questione di inconsapevolezza, da parte dell’utente, dei rischi derivanti dal download di app da fonti non attendibili. In alcuni casi, inoltre, l’utente viene attratto da offerte di funzionalità speciali che l’app originale non offre traendo quindi in inganno la vittima. In altri casi, invece, queste app vengono distribuite in paesi dove il loro utilizzo non è consentito, come ad esempio in Cina: l’utente si trova, pertanto, costretto a scaricare l’app da fonti non autorevoli”. 

Per ridurre il rischio di scaricare app infette “è importante educare l’utente sui pericoli derivanti dal download di applicazioni/software da fonti non attendibili. In linea di principio, gli store ufficiali non sono complici delle minacce che si verificano a causa di app infette; tuttavia, è importante che continuino a migliorare i loro meccanismi di sicurezza e controllo sulle app che vengono pubblicate”.

Da qui la necessità di essere più accorti e, se del caso, tenere presente che “tipicamente dietro queste app ‘infette’ si nascondono InfoStealer, ovvero malware con funzionalità di esfiltrazione di credenziali, cryptowallet, screenshot e informazioni personali dell’utente. È pertanto consigliabile in ogni caso, oltre a ripristinare il dispositivo per evitare persistenze dell’applicativo, anche resettare tutte le password salvate nel device in quanto potrebbero esser già state compromesse”, conclude Michetti.

@RIPRODUZIONE RISERVATA