Molto spesso la cronaca tecnologica parla del tema dei cookies traccianti, sottovalutando il fatto che, in particolar modo lato mobile, il problema principale per la sicurezza degli utenti risiede nella bontà delle applicazioni che si sono installate da questo o quell’app store Esattamente come appena scoperto da una nota azienda di sicurezza.
Secondo un’analisi condotta dai laboratori dell’azienda di sicurezza israeliana Check Point Software Technologies, nel Play Store di Android si annidavano 9 applicazioni molto utilizzate, tra cui lettori di codici a barre o QR (es. QR/Barcode Scanner MAX), registratori di audio (QRecorder), riproduttori multimediali (es. BeatPlayer), VPN (es. Pacific VPN) che, superati i controlli iniziali di Google, mettevano all’opera il pericoloso dropper Clast82.
Quest’ultimo, comunicato con un server remoto di controllo e comando, cambiava la configurazione dell’app attraverso la piattaforma di sviluppo googleiana FireBase e procedeva a scaricare, da una repository collocata su GitHub a nome di un finto sviluppatore (uno per ogni app), il vero e proprio malware, noto come AlienBot Banker.
Penetrato sul device della vittima, il virus procedeva a carpirne i dati di accesso alle app finanziarie, riuscendo financo ad aggirare la cautela dell’autenticazione a due fattori posta a loro presidio, con – in più – un modulo di accesso remoto mobile (in gergo tecnico MRAT, Mobile Remote Access Trojan) a base TeamViewer (noto tool di assistenza) che concedeva letteralmente all’hacker il controllo remoto del dispositivo.
Segnalate il 28 Gennaio, le app adulterate sono state rimosse da Google il successivo 9 Febbraio: gli esperti di sicurezza, in tal senso, consigliano non solo di scansionare sul momento quel che si va a installare, ma anche di farlo dopo qualche tempo, tenendo conto che spesso le app, come pure le estensioni nei browser per PC, cambiano in un secondo momento il loro comportamento, volendolo al malevolo, quando ormai le “acque sono calme”.