I ricercatori di Threat Fabric hanno scoperto un lotto di app pubblicate sul Google Play Store che sono state scaricate più di 300.000 volte da parte degli utenti e che integrano trojan bancari capaci di rubare credenziali personali e codici di autenticazione a due fattori, registrare i caratteri inseriti tramite la tastiera virtuale del telefono Android e salvare screenshot.
Le app che si presentavano come scanner di codici QR, strumenti per la creazione di PDF e portafogli di criptovalute contenevano quattro diverse famiglie di malware Android distribuiti nel corso degli ultimi quattro mesi.
Gli autori dei malware hanno usato diversi trucchi per aggirare le restrizioni che Google ha implementato nel tentativo di tenere a freno l’incessante distribuzione di app fraudolente nel suo store ufficiale.
L’attacco è stato posto in essere pubblicando dapprima applicazioni assolutamente benigne sul Play Store. Dopo che le app in questione sono state installate dagli utenti questi ultimi hanno ricevuto messaggi che li invitavano a scaricare aggiornamenti per l’abilitazione di funzionalità aggiuntive.
Come spiegano gli esperti di Threat Fabric il problema è che l’impronta malevola contenuta nelle app che portano all’attivazione di trojan bancari come quelle che sono state scoperte è veramente ridotta e di conseguenza è molto complessa da individuare con strumenti di scansione automatica (sandbox) come quelli usati da Google.
Per osservare un “profilo basso” e restare under-the-radar gli autori degli attacchi hanno provveduto a installare manualmente gli aggiornamenti dannosi sui dispositivi delle vittime solo dopo averne controllato la loro posizione geografica. In questo modo si è potuto evitare la generazione di allarmi a seguito di controlli più o meno automatizzati.
Gli utenti vengono inoltre esortati a fornire i permessi speciali che permettono al trojan di agire in profondità con la promessa di nuove funzionalità.
Ancora una volta è essenziale evitare l’installazione di app Android che richiedono permessi troppo ampi o non giustificati sulla base delle funzioni offerte dall’applicazione stessa. In un altro articolo abbiamo visto che tante app Android usano permessi pericolosi e come rendersene conto.
Inoltre è sempre bene diffidare di quelle applicazioni che propongono il download di componenti aggiuntivi da server di terze parti senza passare per il Play Store.
Nell’analisi di Threat Fabric si trova l’elenco delle applicazioni malevole pubblicate sul Play Store mentre cliccando qui è disponibile la lista delle app che venivano poste sotto controllo per rubare credenziali e dati personali.
Nella lista non riconosciamo istituti di credito italiani ma i criminali informatici analizzavano comunque il contenuto di Gmail, Outlook, Yahoo Mail e dell’app Coinbase.