I ricercatori di McAfee hanno scoperto sul Google Play Store 16 app contenenti adware che sono state installate oltre 20 milioni di volte. Il malware Clicker permette ai cybercriminali di ottenere profitti dalle inserzioni pubblicitarie. Le app sono state prontamente rimosse dallo store. Google Play Protect blocca tutte le app, ma è consigliato l’uso di una soluzione di sicurezza.
Clicker app per generare profitti
Il trucco usato per ingannare gli utenti è sempre lo stesso. Le app sembrano apparentemente utili tool, ma in realtà offrono funzionalità inattese. L’elenco completo delle 16 app è stato pubblicato sul blog di McAfee. La più pericolosa è DxClean con oltre 5 milioni di installazioni e molte recensioni positive, quasi certamente fasulle. Nella descrizione è scritto che permette di incrementare le prestazioni dello smartphone. Invece, come le altre app, rallenta il dispositivo, consuma traffico dati e riduce la durata della batteria.
Quando l’ignaro utente apre le app viene scaricato un file di configurazione dal server remoto e registrato un listener FCM (Firebase Cloud Messaging) che riceve massaggi push. Dopo aver ricevuto il messaggio con i parametri necessari, le app attivano la funzionalità nascosta. Vengono visitati diversi siti in background (l’utente non vede nulla sullo schermo) e simulata l’interazione (clic) con le inserzioni pubblicitarie.
Nel codice delle app sono presenti due librerie che effettuano i clic automatici e avviano i servizi adware. L’esecuzione viene ritardata di un’ora (dopo l’installazione) per non destare sospetti. Inoltre viene sospesa quando l’utente usa lo smartphone. Le soluzioni di sicurezza offerte da McAfee rilevano e cancellano le app dal dispositivo.