All’inizio di settembre discutemmo della disarmante frequenza con cui applicazioni malevole sono pubblicate nel Google Play Store, nonostante gli sforzi del gigante tecnologico statunitense. Criminali informatici a più riprese sono riusciti ad eludere i controlli di Google, e sfortunatamente il trend continua. Oggi analizziamo un caso dell’ultima ora, più di un milione di utenti Android ha scaricato una falsa versione della popolare applicazione WhatsApp che era disponibile sullo store ufficiale Google. 

La sconcertante scoperta non è stata fatta non da Google, ma dagli utenti della piattaforma social Reddit. Gli utenti hanno scoperto una versione molto simile all’originale nel Play Store, nell’immagine seguente sono proposte entrambe le versioni, a sinistra quella falsa, mentre a destra quella ufficiale.

L’utente Reddit DexterGenius ha analizzato il codice sorgete della versione falsa di WhatsApp ed ha scoperto che di fatto l’applicazione funge da contenitore per un ulteriore codice usato dallo sviluppatore per scaricare una seconda applicazione apk. 

Riferisce DexterGenius

L’applicazione dispone di autorizzazioni minime (accesso a Internet) ed è fondamentalmente un wrapper contenente un codice per scaricare un secondo apk , chiamato anche ‘whatsapp.apk’. L’applicazione cerca anche di nascondersi non avendo avere un titolo ne un’icona

La falsa applicazione appare all’utente priva di titolo e non presenta alcuna icona associata, un chiaro tentativo dello sviluppatore di non destare sospetti nelle vittime.

Il trucco per nascondere la vera identità

Consultando il nome dello sviluppatore riportato nel Play Store, possiamo osservare che la falsa applicazione sembra essere stata sviluppata proprio da WhatsApp Inc. Tuttavia, prestando maggiore attenzione al nome, possiamo scoprire un trucco utilizzato dagli autori per presentarsi come sviluppatori della nota azienda. Gli autori hanno aggiunto uno spazio alla fine del nome, i due byte 0xC2 0xA0 alla fine del nome hanno consentito loro di eludere i controlli di Google.

App rimossa

Davvero incredibile, piccoli e semplici accorgimenti sono bastati agli autori della falsa applicazione WhatsApp per pubblicarla nel Google Play Store eludendo i sofisticati controlli annunciati dall’azienda. Ad aggravare la situazione, il fatto che la stessa applicazione sia stata scaricata da più di un milione di dispositivi. La buona notizia è che la falsa applicazione WhatsApp è stata rimossa dal Play Store ufficiale e il suo autore sarà bandito, poco male perché certamente utilizzerà nuovi profili per cercare di colpire altri ignari utenti con nuove applicazioni.

Controllo umano

L’incidente deve indurre ancora una volta ad una seria riflessione, i controlli automatizzati introdotti da Google basati su sistemi di Machine-Learning sono evidentemente non sufficienti a contrastare la minaccia ed il caso descritto ne è la prova. In molti sostengono che sistemi automatici debbano ancora essere affiancati dall’operatore umano in grado di scoprire tentativi come quello analizzato. Ancora una volta vi esorto a scaricare applicazioni solo dagli store ufficiali, prestando attenzione agli sviluppatori ed ai feedback che le stesse app hanno ricevuto.  Scaricate sempre solo ciò che realmente vi serve, consapevoli che ogni applicazione inutile che installate amplia la vostra superficie di attacco e potenzialmente apre le porte ad hacker malintenzionati.