Un applicazione per scannerizzare i codici a barre, presente in Google Play scaricato più di dieci milioni di volte, è stato il vettore per un’infezione virale informatica di proporzioni gigante.
L’applicazione in questione si chiama Barcode Scanner e da dicembre 2020 è stata pian piano sempre più oggetto di lamentele da parte dei consumatori. Nathan Collier, ricercatore per Malwarebytes, si è occupato del caso all’inizio era perplesso.
Nessuno dei clienti aveva recentemente installato alcuna app, e tutte le app che avevano già installato provenivano dallo store ufficiale di Google, uno store che nonostante uno storico non perfetto rimane decisamente più sicuro dei siti di terze parti. Dopo diverse ricerche Collier ha identificato il colpevole in Barcode Scanner.
Il ricercatore ha detto che un aggiornamento consegnato a dicembre includeva del codice che è stato poi responsabile per una grande quantità di annunci pubblicitari malevoli. A stupire il ricercatore è stata la possibilità che, quest’applicazione, sia riuscita a passare sotto il radar di Google Play Protect. Assurdo anche come lo sviluppatore dell’applicazione sia riuscito a trasformare il programma in un malware, sotto gli occhi di tutti senza che però nessuno se ne accorgesse.
Come fa un applicazione a trasformarsi in un malware?
Secondo le parole del ricercatore la trasformazione di un app positiva in un malware è il risultato di kit di sviluppo software di terze parti, utilizzati dagli sviluppatori per monetizzare le applicazioni. Dal codice dell’applicazione e dal certificato digitale che accompagna il codice, il ricercatore di cui sopra ha stabilito che il comportamento dannoso era il risultato di modifiche apportate direttamente dallo sviluppatore.
Il ricercatore ha infatti dichiarato:
No, nel caso di Barcode Scanner, è stato aggiunto del codice maligno che non era presente nelle versioni precedenti dell’app. Inoltre, il codice aggiunto era mascherato in maniera importante, affinché fosse difficile da rilevare.
Per verificare che provenisse dallo stesso sviluppatore dell’app, abbiamo confermato che controllato i certificati digitali della nuova versione e della precedente. Visto l’intento maligno della modifica abbiamo deciso di definire il codice aggiunto come un trojan invece che un Adware.
Google ha rimosso l’applicazione malevola dallo store, senza però rimuoverla dagli smartphone infetti. Quest’ultima operazione dovrà essere eseguita dall’utenza.