Google ha da tempo implementato un sistema di protezione per il suo Play Store, noto come Play Protect: in ragione di ciò, da qualche tempo gli hacker si sono organizzati per aggirarne le scansioni e portare comunque nel suo market diverse applicazioni pericolose, proprio come scoperto dal ThreatLabz della security house Zscaler.
Secondo gli esperti, la nuova minaccia alla sicurezza digitale era annidata in un’app per il lifestyle, Todo: Day manager, indicata per programmare gli appuntamenti quotidiani: in realtà, dopo averla installata, l’utente veniva portato a scaricare, via Firebase, una seconda applicazione da un archivio GitHub. Tale payload, che si faceva passare per un falso Play Services di Google, era in realtà il già noto malware bancario Xenomorph, che, come prima cosa, richiedeva il permesso di accesso: a quel punto, configurandosi come amministratore del device, evitava la rimozione da parte dell’utente.
Come secondo step, Xenomorph si collegava un server remoto di comando e controllo, dopo averne recuperato l’indirizzo nel titolo di una conversazione di gruppo su Telegram: ultimato questo passaggio, poteva sovrapporre dei layer alle app bancarie del dispositivo, con la conseguenza che tutte le credenziali inserite venivano in realtà spedite agli hacker.
Inoltre, sembra che il virus in oggetto fosse anche in grado di leggere le notifiche e gli SMS, sicuramente per andare a caccia dei codici e delle password monouso che si inviano nell’ambito dell’autenticazione a due fattori e, da parte delle banche, per autorizzare le varie operazioni. A quanto pare, l’app Todo: Day manager è stata scaricata poco più di 1.000 volte, prima che venisse rimossa dal Play Store, anche se potrebbe comunque essere ancora presente sui device degli utenti, da cui andrà rimossa manualmente.
Per cautelarsi da minacce simili, gli esperti raccomandano di prestare attenzione alle autorizzazioni concesse alle app, di leggerne le recensioni, specie se di sviluppatori poco noti, di essere diffidenti nel caso un’app inviti a scaricare qualcosa dall’esterno del Play Store: è buona cosa anche aver installato in locale un antivirus.