Un’app da 10 milioni di download
I tecnici di Quick Heal hanno scoperto, nel Google Play Store, un’app antivirus fake. L’app, denominata “AntiVirus – Virus Cleaner” si presenta come una soluzione antivirus legittima ma non ha, in realtà, alcuna funzionalità di sicurezza reale.
L’analisi dei tecnici di Quick Heal ha mostrato come lo scopo reale dell’app sia quello di mostrare annunci pubblicitari e aumentare il conteggio dei download. L’app insomma non fornisce alcun vantaggio di sicurezza.
Le false funzionalità di “AntiVirus – Virus Cleaner”
L’app emula funzionalità di sicurezza reali, comunemente offerte dalle app antivirus legittime. Ad esempio l’app mostra una funzionalità chiamata “Scan Device e Application”: la verifica tecnica ha mostrato però come l’app non abbia alcuna reale capacità di scansione di dispositivi e applicazioni eccezion fatta per una lista predefinita di app indicate come dannose / pulite. Questa lista è statica e non ha ricevuto alcun aggiornamento durante tutto il periodo di analisi da parte dei tecnici Quick Heal.
Il funzionamento dell’app fake
Analizzando il pacchetto file dell’app, i tecnici di Quick Heal hanno individuato un file JSON sospetto nella sottocartella “asset” con ‘blackListActivities, permissions, whiteListe
whiteListReview`. Questi file contengono una whitelist di app molto popolari, come Facebook, Instagram, Linkedin e Skype nonchè il nome del pacchetto dell’app stessa, che viene aggiunto alla white list proprio per non essere rilevato.
L’app utilizza anche caratteri speciali nella sua whitelist: contiene infatti anche voci come “com.android.*” che consente ad altre app dannose con nomi simili di aggirare il rilevamento.
Quick Heal blocca AntiVirus – Virus Cleaner
Quick Heal Total Security per Android blocca con successo questa applicazione, come “Android.Blacklister (PUP)”. I riferimenti sono
- per il nome pacchetto com.coopresapps.free.antivirus;
- hash MD5 cb2ebff07b16fffc6c3df0251247fe1d.
Il commento di Vishal Salvi, Chief Executive Officer @ QuickHeal
Vishal Salvi, Chief Executive Officer @QuickHeal, sul punto, ha rilasciato questa dichiarazione pubblica:
“questa app antivirus fake è il classico esempio di come gli autori di malware possano indurre gli utenti a scaricare app spazzatura inducendo un falso senso di sicurezza. Invitiamo tutti gli utenti a prestare molta attenzione quando scaricano app di sicurezza gratuite perchè potrebbero essere ingannevoli e potenzialmente dannose. Io consigli di ffidarsi sempre e solo a vendor e brand noti e affidabili come Quick Heal, perchè forniscono una sicurezza reale ai dispositivi e ai dati degli utenti. Ricordiamolo sempre: tutto ciò che è gratis è una tentazione, ma potrebbe anche essere un falso”.