Vi raccontiamo una vicenda che ha dell’incredibile ma che mostra come i criminali informatici si stiano attrezzando per mettere in campo truffe sempre meglio congegnate e, di conseguenza, più efficaci.
Innanzi tutto, saltiamo subito alle conclusioni: quando si installa un’app Android, soprattutto se non sviluppata da produttori noti, è sempre bene non accordare troppi permessi. Quando un’applicazione richiede permessi che non hanno nulla a che vedere rispetto alle funzionalità che essa offre, è sempre bene insospettirsi.
A tal proposito suggeriamo la lettura dei nostri due articoli App Android pericolose per la sicurezza e la privacy e Antivirus per Android: servono davvero e quando utilizzarli?.
I malintenzionati stanno utilizzando sempre più spesso il permesso speciale chiamato Mostra sopra altre app, Consenti il disegno su altre app o Spostamento su altre app. Prima di accordarlo è bene chiedersi perché esso venga richiesto.
Un gruppo di criminali ha sviluppato un’app Android malevola che è stata pubblicata su Google Play Store e che è stata da qui scaricata e installata almeno da 10.000 utenti. Essa veniva presentata col nome di QRecorder (ricalcando il nome di un’applicazione assolutamente legittima già ospitata sullo store di Google), descritta come un pratico registratore vocale e di chiamate telefoniche.
L’app in questione al momento dell’installazione chiedeva l’autorizzazione a sovrapporsi ad altre applicazioni Android e, una volta in esecuzione, permetteva effettivamente di registrare le chiamate non destando quindi alcun sospetto.
Entro 24 ore l’app malevola provvedeva però a inviare ai criminali informatici l’elenco delle applicazioni Android per la gestione di servizi di online banking installate sul dispositivo. All’apertura delle app per la gestione dei conti correnti da parte dell’utente, veniva mostrata – sovrapposta all’applicazione originale – una schermata fasulla con i campi per l’inserimento delle credenziali d’accesso.
Ritenendo che la schermata (con i loghi e la grafica dell’istituto bancario di riferimento) fosse quella legittima, diversi utenti hanno inserito le proprie credenziali che sono state quindi trasmesse agli aggressori.
Al momento i criminali informatici si sono concentrati sulle app di banche tedesche, polacche e ceche. Le forze di polizia hanno confermato che sarebbero già stati sottratti circa 78.000 euro dai conti delle vittime con il denaro che pare sia stato girato su altri conti intestati a un unico soggetto.
L’autore della vera app QRecorder si è affrettato a precisare di essere stato egli stesso vittima. Egli ha infatti pubblicato il sorgente della sua applicazione su un servizio attraverso il quale i programmatori possono vendere codice utile per la risoluzione di determinate problematiche (la piattaforma Codecanyon). Tale codice è stato evidentemente riutilizzato dagli aggressori per creare un’applicazione molto simile, farcita delle routine malevole.
Grazie ai permessi di lettura degli SMS che l’app malevola chiedeva, gli aggressori sono riusciti non soltanto a conoscere le credenziali d’accesso degli utenti ma anche a superare con successo l’ulteriore misura di sicurezza rappresentata dall’autenticazione a due fattori.