Nel corso del 2023, il mondo Android è stato colpito da una serie di attacchi di malware su vasta scala, che hanno infettato milioni di dispositivi in tutto il mondo. Questi attacchi rappresentano una minaccia crescente per la sicurezza dei dispositivi mobili e la privacy degli utenti.
Uno dei malware più diffusi è stato identificato come “Xamalicious”, un backdoor Android precedentemente sconosciuto, che ha infettato circa 338.300 dispositivi tramite app dannose disponibili su Google Play, lo store ufficiale di Android. Il malware, scoperto da McAfee, un membro dell’App Defense Alliance, è stato installato principalmente tramite alcune app popolari, tra cui “Essential Horoscope for Android”, “3D Skin Editor for PE Minecraft” e “Logo Maker Pro”. Anche se le app sono state rimosse da Google Play, gli utenti che le hanno installate dal 2020 potrebbero ancora avere infezioni attive di Xamalicious sui loro telefoni, richiedendo scansioni manuali e pulizie. Xamalicious, sviluppato utilizzando il framework open-source Xamarin, si maschera tipicamente come app di salute, giochi, oroscopi e produttività. Dopo l’installazione, richiede l’accesso ai servizi di accessibilità, consentendogli di eseguire azioni privilegiate come gesti di navigazione, nascondere elementi sullo schermo e concedere ulteriori permessi a se stesso.
Un altro attacco significativo è stato effettuato dal malware “GriftHorse”, che ha infettato più di 10 milioni di dispositivi Android in oltre 70 paesi, probabilmente rubando centinaia di milioni dalle sue vittime ingannandole nel sottoscrivere servizi a pagamento senza la loro conoscenza. Questa campagna è stata attiva per circa cinque mesi, da novembre 2020 ad aprile 2021. Il malware è stato distribuito tramite oltre 200 applicazioni Android trojanizzate disponibili su Google Play e su store di app di terze parti. Le app trojanizzate, non rilevate dalla maggior parte dei fornitori di anti-malware, hanno evitato il rilevamento per mesi.
Infine, un’analisi di Trend Micro ha rivelato che un gruppo di cybercriminali noto come Lemon Group ha preinstallato il malware “Guerilla” su milioni di dispositivi Android, principalmente telefoni cellulari, ma anche smartwatch e smart TV. Questi dispositivi sono stati trasformati in proxy mobili, strumenti per rubare e vendere messaggi SMS, account di social media e messaggistica online, oltre a monetizzare tramite pubblicità e frode dei clic. Il malware Guerilla carica plugin aggiuntivi che sono dedicati a svolgere funzionalità specifiche, come intercettare password monouso per WhatsApp, JingDong e Facebook ricevute tramite SMS, e impostare un proxy inverso dal telefono infetto.
Questi attacchi mettono in evidenza la necessità per gli utenti di rimanere vigili e di adottare misure proattive per proteggere i propri dispositivi, come evitare il download di app da fonti non ufficiali e mantenere aggiornati i propri dispositivi con l’ultimo software di sicurezza. Google ha affermato che Play Protect tutela gli utenti Android contro il malware sia su che fuori dal Play Store, avvertendo gli utenti e bloccando l’installazione di app conosciute per contenere malware. Tuttavia, la natura in continua evoluzione delle minacce di malware richiede un approccio di sicurezza più olistico da parte degli utenti e dei produttori di dispositivi.
