Così malware Judy ha fregato Google e ha rubato soldi agli inserzionisti in pubblicità
Falsi clic per incentivare i soldi ricavati dalle pubblicità nelle proprie applicazioni. Uno stratagemma messo in atto da uno sviluppatore e che è potenzialmente durato indisturbato “per anni” secondo i ricercatori di Check Point, che hanno pubblicato un articolo sul blog ufficiale a riguardo. Il malware è noto come “Judy”, altresì la protagonista di una serie di giochi per Android e iOS dedicati alla cucina, alla moda, agli animali e alla bellezza.
Un vero e proprio franchise di 41 applicazioni, scaricate non meno di 4,5 milioni di volte su Android e che hanno permesso allo sviluppatore Enistudio Corp, dietro cui si trova la società coreana Kiniwini, di trarre profitti illegali da Google Play.
Come funzionava “Judy”?
Essenzialmente, si celava dietro ad applicazioni legittime e pubblicate nel negozio digitale di Android per accedere al dispositivo della vittima. Dopo di che, una volta che l’applicazione veniva installata, gli hacker registravano una connessione con il server centrale, che rispondeva con un malware, composto da codice JavaScript, un indirizzo web controllato dall’autore e una stringa user agent – un software che si connette a un server.
Il malware apriva poi l’indirizzo web usando lo user agent imitando un browser per PC e veniva ridirezionato su un altro sito web; da lì, il malware sfruttava il codice JavaScript per cliccare sui banner delle pubblicità di Google. Così facendo, l’autore guadagnava più soldi tramite clic che, di fatto, non c’erano ma venivano comunque riconosciuti come tali. Ovviamente, tutto ciò è illegale.
Secondo quanto stimato dai ricercatori, le applicazioni sono state scaricate tra 4,5 e 18,5 milioni di volte. Per di più, Check Point ha notato una seconda campagna di diffusione del malware protratta da altri sviluppatori – non è chiaro se ci sia un legame fra le due campagne – e che porterebbe il totale delle installazioni a non meno di 8,5 milioni e non più di 36,5 milioni in totale. Considerato che alcune applicazioni sono state aggiornate l’ultima volta ad aprile 2016, ciò implica che per molti mesi “Judy” ha potuto operare indisturbato.
Per questo, i ricercatori l’hanno definita “probabilmente la peggiore campagna malware mai scoperta in Google Play”. Check Point ha notificato a Google di questo malware e le applicazioni sono state tolte dal Play Store e non sono più scaricabili. Chi le ha installate, però, può continuare ad accedervi e protrarre. Non è possibile stimare quanti soldi Enistudio Corpo abbia fatto usando questa tecnica illegale.
“Gli hacker possono nascondere le proprie vere intenzioni o anche manipolare gli utenti a lasciare recensioni positive per le proprie app. Gli utenti non possono fare affidamento sui negozi digitali ufficiali per la propria sicurezza e dovrebbero implementare protezioni avanzate aggiuntive per rilevare e bloccare malware mobile zero-day” consigliano i ricercatori. (fonte)
