App fraudolente in store non ufficiali. L’allerta degli hacker etici di Mobisec. Versioni non aggiornate, ma compatibili con smartphone vecchi, oppure con funzionalità premium sbloccate, il che costituisce di per sé una violazione, oppure perché raggiunte tramite link fraudolenti.
Molto diffusi per l’ambiente Android, negli ultimi dodici mesi stanno nascendo anche quelli dedicati ai sistemi iOS.
In questi store non ufficiali il 20% delle app è potenzialmente fraudolenta
A dirlo sono gli hacker etici di Mobisec, azienda trevigiana attiva nel settore della cybersecurity mobile, che hanno utilizzato AppSentry, tool proprietario sviluppato per consentire alle aziende di monitorare la presenza delle proprie app sugli store non ufficiali. Ai fini di questa analisi sono state cercate 122 app di diverse industry su 56 store, focalizzandosi sull’ambiente Android.
Il risultato di questo studio è che il 9,3% delle app è stata diffusa con un nome modificato rispetto a quello originale, il che costituisce un forte indizio del fatto che oltre al nome possano essere state apportate anche altre modifiche, ovviamente di natura malevola. Un ulteriore 3,4% si trova invece su store che ospitano esclusivamente app modificate rispetto alle originali, anche questo un indizio del fatto che anche il codice di queste ultime sia stato ‘ritoccato’. Mentre infine un 9% delle app presenti sugli store non ufficiali sono state manomesse e Mobisec ha individuato al loro interno dei comportamenti malevoli.
Tra i settori più colpiti c’è quello della logistica
Il 67% delle app su store non ufficiale, tra le quali quelle di importanti aziende delle spedizioni, presenta delle caratteristiche che le rendono potenzialmente malevole. Seguono il settore dei media e delle news, con il 50% di app, tra cui quelle di importanti testate giornalistiche italiane, che hanno fatto scattare gli allarmi di AppSentry, quindi i servizi pubblici (33%), come quelli legati alla sanità e agli enti locali, l’intrattenimento (32%), come le principali piattaforme di streaming video italiane ed internazionali, i trasporti e la mobilità (31%), con diversi casi tra le aziende di trasporto pubblico locale, e la grande distribuzione organizzata (29%), le app di messaggistica (27%) tra le più diffuse al mondo e quelle legate al gaming (25%).
Tra le versioni fraudolente delle app che AppSentry ha individuato negli store non ufficiali ce ne sono anche diverse legate all’accessibilità. Ovvero quelle applicazioni che consentono agli utenti diversamente abili di fruire in maniera piena dei contenuti mobile, ad esempio leggendo un testo o descrivendo un’immagine. Queste app fraudolente sono particolarmente pericolose perché accedono a funzioni critiche, ad esempio perché aiutano una persona non vedente a inserire correttamente il pin sull’app della banca.
I rischi cui sono esposti gli utenti che installano queste applicazioni sul proprio device sono diversi
Il più innocuo quello di arricchire gli agenti malevoli grazie alla pubblicità visualizzata su queste app, quelli più seri invece riguardano la possibilità per gli hacker non etici di sottrarre dati sensibili, ad esempio quelli della carta di credito, e di targettizzare gli utenti per inviare loro delle campagne di phishing più efficaci, perché basate sulle loro abitudini che gli agenti malevoli hanno potuto monitorare tramite l’app installata dallo store non ufficiale.
Lo strumento di Mobisec è anche in grado di segnalare alle aziende se sugli store sono presenti versioni desuete delle loro app, magari messe a disposizione di utenti che hanno modelli di smartphone non recenti. Il rischio è che le versioni più vecchie di un’applicazione possano esporre a falle di sicurezza risolte negli aggiornamenti successivi dell’applicazione stessa, esponendo così a dei rischi chi utilizzasse le versioni desuete.
In entrambi i casi, che siano app fraudolente o desuete, le aziende possono agire nei confronti degli store non ufficiali chiedendo l’eliminazione di ogni versione della loro app che sia difforme da quella ufficiale.
«Di per sé, la presenza di un’app su uno store non ufficiale non è un male: succede ed è fisiologico in un sistema variegato come quello mobile», afferma Simone Rebeschini, CEO di Mobisec. «Il vero problema è quando queste app contengono codice dannoso, sono presenti in versioni troppo datate o vengono utilizzate per frodi e violazioni, creando un danno non solo agli utenti che le scaricano, ma anche alle aziende in termini di fiducia da parte dei clienti e di reputazione del brand. In questo senso, la brand protection oggi significa anche sapere in che store si trova la propria app, come viene usata e se viene manipolata: Mobisec offre alle imprese un radar in tempo reale per ridurre le possibilità di attacco di chi agisce in modo malevolo contro di loro e contro i loro clienti».
MOBISEC è un’azienda nata nel 2015 specializzata nella sicurezza delle app per dispositivi mobili. Ha collaborato con realtà come Tim, Generali, UniCredit, ING, BNL e, durante la pandemia di Covid-19, ha lavorato alla sicurezza dell’app Immuni, creata per tracciare i contatti a rischio di contagio. Oltre alla sicurezza delle applicazioni mobili, l’azienda si occupa anche di applicazioni web, oltre che di servizi di data intelligence.
