ALERT: l'antivirus free per il tuo smartphone potrebbe essere un fake!
- LUNEDÌ 16 SETTEMBRE 2019

I Quick Heal Security Labs hanno individuato molteplici false app antivirus gratuite in distribuzione sullo store ufficiale di Google, Google Play. La cosa più allarmante è che una di queste false app AV aveva già superato i 100.000 download. Queste app sono presentate come applicazioni genuine antivirus o per la rimozione di virus: tra queste Virus Cleaner, Antivirus Security ecc...

Peccato che nessuna di queste svolga realmente le funzioni per le quali sono presentate. Nel corso della nostra analisi abbiamo infatti verificato come il loro scopo principale sia in realtà mostrare annunci pubblicitari e incrementare il conteggio dei download.

La credibilità di queste app è legata al fatto che imitano le funzionalità di una vera app antivirus, senza ovviamente eseguirle davvero: ad esempio vi si trovano funzioni come "Scan device for viruses", un sistema per ingannare l'utente della legittimità dell'AV. Dall'analisi del codice abbiamo verificato anche che nessuna di queste app è dotata di un motore antivirus o di funzionalità di scansione, fatta eccezione per un elenco predefinito di applicazioni contrassegnate come dannose o pulite. Tale elenco però è statico e non abbiamo registrato alcun aggiornamento dello stesso nel corso dell'analisi. I falsi AV mostrano poi al termine della falsa scansione, un avviso fake di rilevamento virus al solo scopo di "coprirlo" con infiniti annunci pubblicitari.

Nell'immagine sotto sono visibili alcune di queste app fake antivirus e per la rimozione dei virus.

Una piccola nota di colore, quasi imbarazzante, è che queste app individuano se stesse come applicazioni rischiose / dannose (come si vede nell'immagine sottostante)

Qualche dettaglio tecnico
Tutte le Applicazioni fake che abbiamo analizzato contengono liste di pacchetti predefiniti, come whiteList.json che altro non è che una whitelist coi nomi di vari pacchetti, e blackListPackasges.json contenente invece una blacklist di pacchetti. C'è anche un file blackListActivities.json con una blacklist di attività. E' proprio a causa di queste liste che le applicazioni fake individuano se stesse come rischiose. La falsa scansione si basa appunto su tali liste per rendere un risultato finale di scansione.

C'è anche una lista di permissioni predefinite, usate per mostrare i rischi associati ad altre app.

L'immagine sottostante elenca tutte le false Applicazioni AV che abbiamo individuato e segnalato a Google, che ha già provveduto alla loro rimozione dal Google Play Store.

Quick Heal Total Security per Android individua con successo queste app fake come:
Android.Blacklister.A (PUP) e Android.FakeAV.E (PUP)

Qualche consiglio per evitare di installare app false:
leggi attentamente la descrizione di un applicazione prima di scaricarla;
verifica il nome dello sviluppatore dell'app e il suo sito web. Se il nome suona troppo strano o sospetto, probabilmente hai tutte le ragioni di dubitare della sua affidabilità;
scorri recensioni e il rating. Questa verifica è utile, ma tieni di conto che anche le recensioni e il rating potrebbero essere falsi;
non scaricare applicazioni da app store di terze parti;
installa sul tuo smartphone Android un antivirus le cui funzionalità e provenienza sono comprovati: ti avviseranno nel caso si provi ad installare un applicazione falsa.