Nel mondo del cinema, due sono i pagliacci che più di tutti hanno turbato i sonni di adulti e bambini, Joker della saga di Batman, e Pennywise di It, il romanzo horror di Stephen King. Curiosamente, in questa coda settimanale, i nuovi alert inerenti la sicurezza digitale riguardano due virus chiamati allo stesso modo.
Dalla security house francese Pradeo arriva l’allarme che riguarda un virus in circolazione da anni, facile da implementare e difficile da notare visto che utilizza un’impronta di codice molto lieve: si tratta di Joker, un fleeceware che iscrive l’utente a servizi a pagamento ed effettua chiamate o invii di SMS verso numeri premium, arrecando notevoli ammanchi ai conti correnti degli utenti. Tale malware è stato riscontrato in quattro nuove applicazioni nel Play Store di Android, sostanziate in Smart SMS Messages (oltre 50mila download), Blood Pressure Monitor (oltre 10mila download), Voice Languages Translator (oltre 10mila download), Quick Text SMS (oltre 10mila download), che hanno messo assieme oltre 100mila scaricamenti.
Gran parte di tali applicazioni è capace di intercettare i codici monouso che autorizzano le transazioni economiche leggendo gli SMS o eseguendo gli screenshot, tal che molto spesso la vittima verrà a conoscenza del danno solo a estratto conto ricevuto: un’altra capacità delle app in questione infettate da Joker è quello di far da ponte per lo scaricamento di altre app ancora più dannose. In seguito al report pubblicato da Pradeo, Google ha rimosso tali app dal suo store applicativo ma, nel caso le si avesse già installate, è bene rimuoverle manualmente, controllare il conto corrente e contestare eventuali operazioni non autorizzate. Da notare, poi, nel tenersi in guardia contro minacce simili in futuro, che i profili Play Store dei programmatori di queste app (provvista di una policy sulla privacy quasi predefinita, breve, che non spiegava tutto quel che tali app facevano) in genere elencavano una sola applicazione.
Passando alla seconda minaccia, la security house americana Cyble ha scoperto, in un canale YouTube poi chiuso (sebbene ne siano stati creati altri con lo stesso scopo), diversi video che si spacciavano come guide per produrre criptovaluta usando un particolare software, di cui veniva caldeggiato il download, non a caso visto che era il depositario del virus Pennywise.
Una volta entrato in azione, Pennywise prendeva di mira i cryptowallet “cold” Armory, Electrum, Guarda, Bytecoin, Jaxx, Coinomi, Exodus, Atomic Wallet, oltre a quelli che gestivano Ethereum e Zcash: nel farlo andava alla ricerca di file nei formati rtf, doc, docx, txt e json, dal peso di meno di 20 KB. Il medesimo virus, poi, si appropriava delle sessioni di app di messaggistica come Discord e Telegram, e carpiva info (es. dati di accesso ed estensioni) ai browser Firefox e Chromium (es. Chrome, Edge) depositando il tutto nella cartella “grabber” e inviando una copia di quanto sottratto agli hacker. Curiosamente, Pennywise, nell’agire, tendeva a sospendere le sue attività nel caso risultasse che il bersaglio risiedesse in Bielorussia, Ucraina, Russia, e Kazakistan e, nell’inviare i file agli aggressori, tendeva a convertire il fuso orario del bersaglio nel Russian Standard Time.