Gli hacker, sempre più interessati a colpire gli utenti attraverso i loro dispositivi mobili, nei quali ormai si celano segreti personali, dati sensibili, e credenziali bancarie, non si sono risparmiati neanche a emergenza da coronavirus in corso e, anzi, nel pieno clima di allarme attuale, hanno condotto due nuovi attacchi, di cui uno mediante un bankware e uno con “semplici” applicazioni truffaldine.
La prima minaccia alla sicurezza degli utenti mobili, comunicata in quest’avvio di fine settimana, risponde al nome di Ghimob, un malware che, scoperto dai ricercatori russi di Kaspersky, è stato rinvenuto in 153 applicazioni che, come avvenuto anche nel caso dei finti aggiornamenti per Microsoft Teams, erano ospitate su app store di terze parti. Nel caso specifico, le applicazioni untrici, tutte con nomi alquanto rassicuranti, che richiamavano in qualche modo app già note e famose (WhatsApp Updater, Google Defender, Flash Update, WhatsApp Updater, Google Docs, etc), forse realizzate dagli stessi autori di Astaroth/Guildma, venivano suggerite agli utenti dallo spam di alcune mail, o tramite i collegamenti ospitati in forum o siti web, che indirizzavano l’utente verso app market alternativi al Play Store di Android (e, quindi, meno presidiati).
Installata una delle app in questione, che chiedeva all’utente i diritti di accessibilità, entrava in azione il virus Ghimob, un bankware (come Alien) che scandagliava l’intero dispositivo compromesso, alla ricerca di app bancarie (per ora, molto compite quelle di Angola e Mozambico, Paraguay e Perù, Portogallo e Germania), o di portafogli per la gestione di criptomonete (es. Ethereum o Bitcoin). A quel punto, veniva mostrato, al di sopra di queste ultime, un livello supplementare, invisibile all’utente che, nell’inserirvi i propri dati di log-in, finiva in realtà per inviarli agli hacker.
Questi ultimi, riuscendo anche a sbloccare il display del device infettato (registrandone la sequenza di unlock), mettevano in atto operazioni fraudolente, neutralizzando financo le cautele delle app bancarie, come i prompt d’avviso, o l’invio di SMS o di sondaggi per appurare e verificare l’identità di chi aveva autorizzato una data operazione.
Secondo Kaspersky, l’unica difesa contro un attacco quale quello condotto da Ghimob, oltre all’impostare l’autenticazione a due fattori sulle app bancarie, è quella di scaricare le app solo dagli store ufficiali, leggendone le recensioni, e valutandone le autorizzazioni richieste.
Molto spesso, però, la minaccia digitale si cela proprio nel Play Store di Android, come appurato in passato dalla scoperta di 21 app infarcite dell’adware HiddenAds, o col ransomware MalLocker.B: a ricordare ciò è la security house ceca Avast che, proprio nello store del robottino verde, ha rinvenuto diverse app (di cui 7 molto moleste) “fleeceware” che proponevano sfondi, skin, mod, per Minecraft o per i mondi simulati di Roblox, affibbiando – dopo circa 3 giorni di prova gratuita – abbonamenti estremamente costosi (dell’ordine di 30 dollari a settimana), dei quali veniva fatta menzione solo a margine, con caratteri piccolissimi.
Nell’eventualità che si sia incappati in una di queste app, Avast consiglia di disinstallarle, non prima di averne disabilitato l’abbonamento dall’interno stesso del Play Store: diversamente, è bene prestare attenzione a quel che si scarica, specie se poco noto, attenzionandone le recensioni (nel caso specifico caratterizzate da una media bassa per i punteggi, frutto di molte 1 o 5 stelle) e di leggerne attentamente, prima di sottoscrivere un qualsivoglia abbonamento, gli accordi di fatturazione.